「パスワード認証なし」の世界に向けて足りなかったピースをFIDOアライアンスが発見

デジタルネットワークにおいて不可欠の要素である「認証」の新たな形となるべく2012年に誕生した「Fast IDentity Online(FIDO：ファイド)」は、10年を経た2022年においてもまだ認証方式のスタンダードである「パスワード」に取って代わる存在となっていませんが、この10年間で「パスワードの必要性がない未来」へ向けて足りなかったピースが見つかったことを発表しました。

How FIDO Addresses a Full Range of Use Cases
(PDFファイル)https://media.fidoalliance.org/wp-content/uploads/2022/03/How-FIDO-Addresses-a-Full-Range-of-Use-Cases.pdf

Death of the Password? FIDO Alliance Reveals Its New Plan | WIRED
https://www.wired.com/story/fido-alliance-ios-android-password-replacement/

FIDO Alliance says it has finally killed the password • The Register
https://www.theregister.com/2022/03/21/fido_password_killer/

FIDOの標準化を目指す団体・FIDOアライアンスはMicrosoft・Apple・Googleの主要OSメーカー、IntelやQualcommといったチップメーカー、AmazonやMetaなどのプラットフォームメーカー、アメリカン・エキスプレスやバンク・オブ・アメリカといった金融機関など、幅広いメンバーが参加しています。

FIDOの誕生は2012年であり、そこから10年かかってもまだ「パスワードに続く存在」にも到達していない印象があります。実際、すでに、高いレベルの認証保証においては、FIDOは従来から用いられているICカードと比べると、はるかに低いコストと優れたユーザビリティで展開可能ですが、「パスワードのみ」や「2要素認証」が相手だと、セキュリティとユーザビリティのトレードオフになるとのこと。

FIDOアライアンスは10年かけて、FIDO成功の鍵は「すぐに利用できること」であるという答えにたどり着き、パスワードに依存しない認証を実現するための技術「WebAuthn」のさらなる改善策を示しました。

その内容は、1つがユーザーの持っているスマートフォンを「ローミングオーセンティケーター(認証機器)」にすること。もう1つは、ユーザーのデバイス間でFIDOの認証情報を同期させる機能、特にプラットフォーム認証機能のよりよいサポートを提供することです。これにより、FIDOはパスワードのユビキタス性を備えつつ、固有の問題やフィッシングのリスクを考えなくてもよいという、初の認証技術になれるとのこと。

FIDOは「各サービスがそれぞれのパスワードベースの認証システムから、もっとセキュリティのしっかりしたプラットフォームの認証メカニズムに移行することで、インターネットのパスワードへの過度の依存を大規模に有意義に減らすことができます」と述べています。