ユーザー認証システム「FIDO」
生体認証を使った「パスワードなき世界」、アップルやGoogleの囲い込みが強まるおそれ【Gadget Gate】
アップル、Google、マイクロソフトの3社は5月初め、パスワードが不要なユーザー認証システム「FIDO」をWebサイトやアプリ上で使いやすくすることを共同で発表した。
しかし、こうした「パスワードなき世界」を目指すことが、エコシステムの囲い込みを強化するおそれが指摘されている。つまり、iPhoneからAndroid、あるいはAndroidからiPhoneへの乗り換えが困難になるかもしれないという。
FIDOとは「Fast IDentity Online(すばやいオンライン認証)」の略で、パスワードなしでログイン認証できる仕組みを意味している。パスワードの代わりにUSBやBluetoothによる物理キーのほか、指紋や手の静脈、虹彩などの生体情報を “鍵” として使うものだ。
つまりiPhoneやAndroidデバイスに登録した生体情報により、あらゆるサイトやアプリにログインできることが目標の1つといえる。ユーザーはパスワードを入力する代わりに、スマホの指紋認証や顔認証など、毎日何度も行っているロック解除と同じ操作で認証できるようになるわけだ。
しかし米Fast Companyは、2022年5月現在では、エコシステム間の切り替えを可能にする規格は何もないと指摘している。パスキーは基本的にデバイス内に保存されるため、iPhoneからAndroidスマホに、または逆に乗り換えようとしたとき、相互にパスキーを一括転送する仕組みがないというのだ。
実際、FIDOアライアンスのエグゼクティブディレクター(Googleのセキュア担当製品ディレクターでもある)Sam Srinivas氏は「今のところ、一括でエクスポートする方法はありません」「おそらく将来の課題になると思います」と答え、問題が事実であると認めている。
それに対してパスワードは、転送がかなり簡単だ。主なWebブラウザは数回のクリックで他のブラウザからパスワードをインポートできるし、ほとんどのパスワード管理アプリではユーザーがログイン情報をCSVファイルとしてダウンロードし、手動で競合サービスにアップロードもできる。
理論的には、パスワードと同じようにエクスポートとインポートが一括してできるはずだ。が、FIDOがパスワードよりもセキュアなことに意義がある以上、アライアンスはそれを許可したがってはいないようだ。
実際、上記のSrinivas氏も「ユーザーがプロバイダー間ですべてのパスキーを簡単に移動できるようになれば、ハッカーが悪用するかもしれない」と懸念を表明している。もしも全ての鍵を細心の注意を払わずにエクスポートできる仕組みを作れば、最初にそれを利用するのは「正規のユーザーではない」(悪意あるハッカーだ)というわけだ。
米9to5Macは、1PasswordやLastPassのようなパスワード管理アプリ会社とFIDOアライアンスが連携することが問題解決の近道だと示唆している。が、それが実現するとしてもしばらく先のことだろう。「パスワードなき世界」という理想郷には慌てて駆けつけず、環境が整備されてから移住してもよさそうだ。
Source: FastCompany
via: 9to5Mac
※テック/ガジェット系メディア「Gadget Gate」を近日中にローンチ予定です。本稿は、そのプレバージョンの記事として掲載しています。
しかし、こうした「パスワードなき世界」を目指すことが、エコシステムの囲い込みを強化するおそれが指摘されている。つまり、iPhoneからAndroid、あるいはAndroidからiPhoneへの乗り換えが困難になるかもしれないという。
FIDOとは「Fast IDentity Online(すばやいオンライン認証)」の略で、パスワードなしでログイン認証できる仕組みを意味している。パスワードの代わりにUSBやBluetoothによる物理キーのほか、指紋や手の静脈、虹彩などの生体情報を “鍵” として使うものだ。
つまりiPhoneやAndroidデバイスに登録した生体情報により、あらゆるサイトやアプリにログインできることが目標の1つといえる。ユーザーはパスワードを入力する代わりに、スマホの指紋認証や顔認証など、毎日何度も行っているロック解除と同じ操作で認証できるようになるわけだ。
しかし米Fast Companyは、2022年5月現在では、エコシステム間の切り替えを可能にする規格は何もないと指摘している。パスキーは基本的にデバイス内に保存されるため、iPhoneからAndroidスマホに、または逆に乗り換えようとしたとき、相互にパスキーを一括転送する仕組みがないというのだ。
実際、FIDOアライアンスのエグゼクティブディレクター(Googleのセキュア担当製品ディレクターでもある)Sam Srinivas氏は「今のところ、一括でエクスポートする方法はありません」「おそらく将来の課題になると思います」と答え、問題が事実であると認めている。
それに対してパスワードは、転送がかなり簡単だ。主なWebブラウザは数回のクリックで他のブラウザからパスワードをインポートできるし、ほとんどのパスワード管理アプリではユーザーがログイン情報をCSVファイルとしてダウンロードし、手動で競合サービスにアップロードもできる。
理論的には、パスワードと同じようにエクスポートとインポートが一括してできるはずだ。が、FIDOがパスワードよりもセキュアなことに意義がある以上、アライアンスはそれを許可したがってはいないようだ。
実際、上記のSrinivas氏も「ユーザーがプロバイダー間ですべてのパスキーを簡単に移動できるようになれば、ハッカーが悪用するかもしれない」と懸念を表明している。もしも全ての鍵を細心の注意を払わずにエクスポートできる仕組みを作れば、最初にそれを利用するのは「正規のユーザーではない」(悪意あるハッカーだ)というわけだ。
米9to5Macは、1PasswordやLastPassのようなパスワード管理アプリ会社とFIDOアライアンスが連携することが問題解決の近道だと示唆している。が、それが実現するとしてもしばらく先のことだろう。「パスワードなき世界」という理想郷には慌てて駆けつけず、環境が整備されてから移住してもよさそうだ。
Source: FastCompany
via: 9to5Mac
※テック/ガジェット系メディア「Gadget Gate」を近日中にローンチ予定です。本稿は、そのプレバージョンの記事として掲載しています。