Androidスマホが指紋認証でウェブサービスへのログインが可能に

by Gerd Altmann

Googleが各種サービスを利用する際にパスワードを入力する代わりに、指紋認証などの生体認証を使った認証が使えるようになることを発表しました。記事作成時点ではGoogle製スマートフォンであるPixelシリーズから、Googleの特定のサービスにアクセスする場合にのみ使用可能ですが、数日以内にAndroid 7以降のOSがインストールされたすべての端末でも生体認証を用いたログインが可能になるとのことです。

Google Online Security Blog: Making authentication even easier with FIDO2-based local user verification for Google Accounts
https://security.googleblog.com/2019/08/making-authentication-even-easier-with_12.html

Now you can use Android phones, rather than passwords, to log in to Google* | Ars Technica
https://arstechnica.com/information-technology/2019/08/google-lets-android-users-skip-the-password-when-logging-in/

スマートフォンの指紋認証によるログインを設定している様子はこんな感じ。まず、Googleのパスワード マネージャにアクセスして、Googleアカウントに保存されているパスワードを表示させ、その中から指紋認証でのログインを設定したいものを選択します。

「アカウントにアクセスするには、画面ロックを解除して本人確認をしてください」と表示されるので、「Continue」をタップします。

指紋認証を促す画面がポップアップするので、スマートフォンの指紋センサーで認証を解除すると……

認証が完了しました。これで指紋認証によるログインが可能になるというわけです。

Googleによると、ネイティブアプリなどではなくウェブで生体認証を使用できるようになったのはこれが初めてだとのこと。この機能を実現させたのは、認証規格FIDO2で標準化されたWebAuthn技術です。

2019年3月には、ウェブで使用される技術の標準化団体World Wide Web Consortium(W3C)がWebAuthnをウェブ標準のログイン方法として採択しており、多くのブラウザやウェブサービスがパスワードを使用しない認証方式に移行することが予想されていました。

WebAuthnの詳細は以下の記事を読むと良く分かります。

パスワード不要のログイン方法「WebAuthn」がウェブ標準になる - GIGAZINE

GoogleはこのWebAuthn技術によりGoogleアカウントに保存されたパスワードと、端末の認証機能を連携させて、指紋によるサイトへのログインを実現させました。WebAuthnは指紋認証以外の認証方式もサポートしているので、顔認証やPIN(暗証番号)、パターンロックなども同様に使用できます。

FIDO2規格はネイティブアプリでも採用されている認証方式なので資格情報も共有されており、一度スマートフォンに指紋を登録したユーザーは改めて登録しなおさなくてもアプリとウェブの両方で指紋認証を利用することが可能だとのことです。また、ウェブサイトやGoogleのサーバーに送信されるのは「指紋認証に成功した」という情報だけなので、指紋の情報が第三者に盗み取られるような心配もありません。

一方で、技術系ニュースメディアArs Technicaは今回の新機能を「セキュリティの敵としての利便性」だと指摘しています。というのも、スマートフォンのロック解除と同じ方法でウェブサイトにログインできるということは、スマートフォンを紛失したり盗まれたりした場合、スマートフォンだけでなくウェブサイトのアカウントも侵害されるということを意味しているからです。

それでも、Ars Technicaのセキュリティ担当者であるダン・グッディン氏は「この新しい認証方式は、パスワードを不要なものにする長年の取り組みに続くものです」と述べて、インターネットがよりセキュアなものに進化することへの期待感を語っていました。