ヤフーは10月23日、生体認証デバイスを利用して安全にログインできる「FIDO2」に対応し、一部のAndroidスマートフォンのウェブブラウザ上で、ヤフーのサービスに指紋認証など生体認証でログインできるようになったと発表した。
現在、ウェブサービスにログインするには、IDとパスワードを使うのが一般的だが、さまざまなウェブサービスが出現する中で、サービスごとにID/パスワードを管理する必要がある。ヤフーでは、1日1.5万件のパスワード再設定依頼があり、パスワードの管理に課題を感じているユーザーが多いと指摘している。また、IDやパスワードを使い回すことで、他サービスで漏えいしたID/パスワードを利用してさまざまなサービスにログインを試みる、パスワードリスト攻撃に遭遇する可能性が高くなる。ログインからパスワードをなくすことで、セキュリティを高められると同社では説明する。
ヤフーでは、2017年4月にパスワードレス登録を開始し、既存ユーザーでもパスワードを無効化できる機能を2018年5月に提供している。すでに450万ユーザーがパスワードレスログインを設定しているという。パスワード入力の代わりに提供しているのが、登録した電話番号やメールアドレスに確認コードを送信し、記載された番号を入力することでログインする方法だ。生体認証などを使った新しいオンライン認証の標準化を進める「FIDO Alliance」に準拠している。
今回、FIDO認証をウェブブラウザ上で利用できる「FIDO2」の認定を取得したことで、指紋認証といった生体認証をウェブブラウザからのログインに実装。メッセージ受信までのタイムラグやコード入力といった手間なしで利用できるため、利便性が高まるとしている。アカウントの設定画面から生体認証の使用を登録でき、次回以降、指をかざせばログインが完了する。また、もし端末を紛失してしまった場合でも、メールアドレスで確認コードを受信する方法でログインすることも可能だ。
FIDOは、公開鍵暗号方式を採用。デバイスとサーバ側で共通の秘密鍵を持っておらず、デバイス内で署名したあと、サーバの公開鍵で認証する。生体認証も同じく、生体情報をヤフーのサーバ側に置かず、デバイス内に記録されている生体情報をもとに照合し、署名の結果がサーバに送信される仕組みだ。元々デバイスが持つ指紋認証や顔認証などの機能とユーザーの登録情報を活用し、認証した結果をサービス側がログインに利用すると考えると分かりやすいかもしれない。さらに、事前に登録したデバイスからのみ生体認証が利用できるため、第三者がもしユーザーの生体情報を入手したとしても、登録したデバイス以外からはログインできないという。
対応端末は、FIDOに対応したAndroid 7.0以上かつChrome 70以上、指紋認証をサポートしたスマートフォンとなる。ヤフーでは、サムスンのGalaxyシリーズなどを挙げている。ただし、PCブラウザやアプリからのログインには現時点では対応せず、今後実装を進める。基本的に生体認証はデバイスメーカーの対応状況に依存するため、顔認証などはデバイス側の対応次第としている。
FIDO Allianceは、Amazon、Arm、Google、Facebook、Intel、Microsoft、Visa、Qualcommなどグローバル企業が名を連ねるオンライン認証のアライアンスで、日本からはヤフー以外にもNTTドコモやソフトバンク、KDDIのほか、LINE、楽天、三菱UFJ銀行などが参画している。ただし、AppleはFIDOには参画しておらず、iPhoneのSafariから、ヤフーサービスへの生体ログインは今のところ実現は難しいという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?