読み方 : パスワードレスにんしょう
パスワードレス認証【passwordless authentication】
概要
従来の一般的なユーザー認証では、利用者がIDとパスワードを入力し、システム側が保存しているものと一致するか照合する方式が一般的だった。しかし、パスワードの使い回しや推測、短い場合の総当たり攻撃、フィッシング攻撃による窃取などのリスクがあるため、パスワードに依存しない様々な認証方式が考案され、普及しつつある。
パスワードレス認証では、パスワードのような本人だけが知っている情報の代わりに、指紋や虹彩、顔貌といった本人の身体的特徴を利用したり(生体認証)、スマートフォンやセキュリティキーといった本人が持ち歩いていることが期待される所持品を介して認証を行う。ワンタイムパスワードのように符号を入力する方式もあるが、これは本人が覚えているパスワードを求めるものではなく、所持品からその場限りの使い捨てのコードを得て入力する方式である。
近年有力な方式として、業界団体のFIDOが標準化した「パスキー」がある。公開鍵暗号を応用した方式で、利用者が自らの端末に設定したパスコードなどの認証に成功すると、装置が持つ「秘密鍵」によって署名されたデータが認証サーバへ送られる。サーバ側には対となる「公開鍵」が事前に登録されており、これを使って署名を検証することで本人であることが確かめられ、ログインが許可される。
共有ボタンをタップ