パスワードは、インターネットのセキュリティに欠かせないものです。しかし、オンラインやオフラインで多くのサービスが提供されているため、パスワードを管理するのは難しいかもしれません。サービスにログインするたびにパスワードを入力する必要がない、パスワードレスログインシステムが出始めています。

しかし、パスワードを使用しない場合、どのようにアカウントを保護するのでしょうか？パスワードレスログインとは何ですか？

パスワードレスログインは何ですか？

パスワードレスログインとは、パスワードに代わるものを使ってアカウントへのアクセスを可能にする認証システムです。例えば、パスワードの代わりに、ログイントークンとしてメール通知を受け取ります。または、お客様のスマート**に、アカウントへのアクセスをコントロールするためのポップアップウィンドウが表示される場合があります。

この場合、パスワードレスログインは、通常、既存の認証形式を使用して、お客様の身元を保証します。

Gmailアカウントを使用したパスワードレスログインに遭遇したことがあるかもしれません。ログインするたびにパスワードを入力する代わりに、Googleはあなたの**に直接プロンプトを送信することができます。プロンプトには、ログインを試みた時間と場所が表示され、ログインを承認または拒否するオプションが提供されます。

パスワードなしログインの仕組みは？

ウェブサイトにログインする際、アカウントのロックを解除するためにパスワードを入力する必要があります。パスワードは、お客様とサイト側だけが知っており、お客様のアカウントの安全性を確保します。お客様は、サイトがお客様のパスワードを保護し、安全に保管し、サイト自体が攻撃に対して脆弱でないことを信頼しているのです。

また、サイトやサービスごとに強力でユニークなパスワードを使用することが、最も安全な方法であるため、すでに使用しているはずです。

しかし、難しくなるのは後者です。サイトごとに強力なワンタイムパスワードを作成し、ユーザーは覚えやすいが悪いパスワードを作成することができます。また、たとえ安全なパスワードを作成したとしても、毎月の情報漏えいの件数を見れば、その努力も水の泡となる可能性があります。

パスワードレス認証では、パスワードを使わなくてもサイトを信頼することができます。パスワードレスログインは、毎回パスワードを入力するのではなく、複数の異なる認証方式を使用します。

電子メールによるパスワードレス認証

現在、最も一般的に使われているパスワードレスログイン方式は、電子メールによるものです。多くのユーザーは、電子メールベースのパスワードレスログインが最も一般的なシステムであり、パスワードのリセットと同様の機能を備えていることに気づくでしょう。

ログインしようとするとき、Eメールアドレスを記入してください。サービスは、アカウントに関連付けられたアドレスに安全な電子メールを送信し、電子メールには、サービスアカウントに入るために使用できる安全なワンタイムマジックリンクが含まれています。マジックリンクは、サービスによって検証され、永続的な認証トークンと交換される固有のログイントークンを含んでいます。

メールシステムには、他にもバリエーションがあります。例えば、既存のアカウントの場合、サービスは、そのアカウントの詳細にバインドされたワンタイムDKIMキーコードをユーザに送信することができる。ユーザーはDKIMコードを受け取り、それをサイトに入力する。サイトでは、このコードと既存のユーザー情報を照合し、ログイン処理を完了します。

SMSによるパスワードレスログイン

この例では、ユーザーは有効な電話番号を入力する。このサービスは、電話番号にワンタイムコードを送信するものです。その後、ユーザーはサービスにログインすることができます。また、音声合成サービスがコードを直接読み上げる「ロボコール」を提供するサービスもある。

しかし、テキストメッセージのセキュリティは精査されています。大多数の人は何も心配することはないのです。しかし、一部の高名な個人（特に多額の暗号通貨を保有する個人）は、SMSのsimカードハッキングに遭っています。simカード交換攻撃とは何か、その防御方法について詳しく解説します。

生体認証によるパスワードレスログイン

パスワードレスログイン方式の中には、生体スキャンサービスを利用して本人確認を行うものがあります。生体認証サービスは、これまで以上に多くのデバイスで利用できるようになりました。(スマート○○は生体認証サービスに切り替えるべき？)

ウェブサイトを見たいときに、スマート○○にアラートが表示されるというものです。Smart**のロック解除は、好みの生体認証システムで行うことができ、ロック解除機能で本人確認が行われます。

しかし、アップル社の顔認証コード（iphonex、ipadpro第3世代、ipodtouch第7世代以降に製造された機器）を除いて、モバイル機器の生体認証は完全に安全とは言い切れないのです。

他の**ベンダーの顔スキャンのハードウェアはそれほど高度ではなく、写真を使って詐称するのに対し、Appleの顔IDを詐称するには、完全に3Dプリントして描いた頭部が必要です。他のケースでは、指紋スキャナで部分的に認証してロックを解除することも可能です。

現時点では、生体認証によるパスワードレスログインシステムは最適な選択肢ではないかもしれませんが、将来的にはそうなる可能性もあります。

パスワードなしの物理キーログイン

物理セキュリティキーは、パスワードなしのログイン認証の代替オプションを提供します。物理セキュリティキーは、専用のUSBセキュリティキーです。自分のアカウントにアクセスするときは、コンピューターにセキュリティキー**を渡してください。オンラインサービスでは、セキュリティキーでアカウントを認証するため、パスワードは不要です。

物理セキュリティキーの主な例としては、Google社のTitanシリーズ、Yubico社のYubikeyシリーズなどがある。

パスワードレスログインは、二要素認証に近いのでしょうか？

YesとNo。

パスワードレスログインは、別の認証方法でアカウントにアクセスできるため、2要素認証（2FA）と似ています。2FAは、通常パスワードと別のデバイスという2つの別々の要素を使用してアカウントを保護する仕組みになっています。

いいえ、アカウントの確認に別のデバイスを使うとはいえ、シングルファクターに過ぎないため、同じではありません。

パスワードレスログインはより安全ですか？

ユーザーが不正なパスワードを作らないようにする方法は、何でも良いのですね？パスワードレスログインは、エンドユーザーにとって新たな障害となるポイントを排除します。現状では、パスワードレスログインは一般的ではありません。前述のGmailやSlackMagicLinksなど、主要なサービスで採用されているものもあります。

サイトオーナーやモデレーターにとって最大のメリットは、突然、ユーザーのパスワードに対応する必要がなくなることです。暗号化されていないプレーンテキストのファイルに保存されたパスワードは、ハッカーにとっては悪夢のようなものです。また、滅多にサービスにアクセスしないユーザーは、「パスワードの再設定」という面倒な作業をする必要がありません。

また、パスワードレスログインは、ユーザーが素早くサービスにログインするのに役立ちます。逆に、頻繁にサービスからログアウトする場合、時間の長さによってはメールやSMSで再認証する必要があり、煩わしさを感じることがあります。

現在、パスワードマネージャーを使用して

パスワードレスログインが主流になるには、時間がかかると思います。しかし、状況は良い方向に変わりつつあります。主要ブラウザーのほとんど（Safariを除く）が、何らかの形でパスワードレスサインインをサポートしています。2019年2月には、GoogleもAndroid 7（＝Android Nougat）以降の端末がパスワードレスサインインに対応することを発表しています。

つまり、Android端末の50％近くがパスワードレスサインインをサポートしていることになります。また、FIDO2やWebAuthnなどのパスワードレスログイン規格は、認証方法をさらに保護するためのアップデートが継続される予定です。

この記事を書いている時点では、まだパスワードが必要で、強力なワンタイムパスワードが必要なので、パスワードマネージャーの利用を検討してはどうでしょうか。