パスワードレス認証とは？

パスワードレス認証とは、従来のパスワードを使用せずにユーザーのアイデンティティを確認する手段です。パスワードの代わりに生体認証、パスキー、マジックリンク、ワンタイムパスワード (OTP) などの手段でアイデンティティを確認します。

パスワードレス認証のしくみ

パスワードレス認証では、パスワードのような知識情報に頼るのではなく、生体情報や所持情報を使用します。パスワードレス認証を使用したアカウントにログインすると、最初にユーザー名かメールアドレスを入力します。それから、アイデンティティの確認に必要となるものが求められます。ここで求められるのはセキュリティキーやデバイスに送信されるマジックリンクとなります。認証方法が生体情報によるものである場合、顔、目、指紋、音声のどれかを使用して生体認証を行います。

パスワードレス認証の種類

パスワードレス認証は所有要素と固有要素の2つのカテゴリーに区分できます。

所有要素

所有要素は、ユーザーが物理的に所有しているものに依存します。ハードウェアセキュリティキーは所有要素の代表例で、ユーザーだけが使用できるUSBメモリのような形をした物理的なキーとなります。このカテゴリに該当する他のパスワードレス認証には、マジックリンク、パスキー、タイムベースのワンタイムパスワード (TOTP) があります。

固有要素

固有要素は、ユーザーの身体的特性に基づいています。固有要素には、指紋、顔認識、網膜スキャンなど、あらゆる種類の生体認証が含まれます。

パスワードレス認証は安全？

パスワードレス認証は、パスワード認証よりも安全です。その理由は、パスワードレス認証では一般的なパスワード認証に関わる攻撃 (クレデンシャルスタッフィングやブルートフォースなど) で攻撃される危険性が低いためです。

従来のパスワード認証では、認証要素として知識情報を使用します。パスワードレス認証システムではこの知識情報がフィッシング、ランサムウェアなどに使われる攻撃ベクトルとなる可能性があると認識されています。知識情報もまた他の誰かの手に渡って悪用される可能性があるためです。

パスワードレス認証のメリット

パスワードレス認証には2つのメリットがあります。

セキュリティの向上

パスワードレス認証は従来のパスワード認証よりも安全であるため、安全性の低いパスワードからもたらされる脅威を取り除き、パスワード関連の攻撃を受ける可能性を排除します。これにより組織の攻撃対象領域を縮小させるだけでなく、全体的なセキュリティが強化されます。

ユーザー体験の向上

パスワードの数が多くなると覚えきれなくなり、その結果パスワードをリセットせざるを得ないことがよくあります。パスワードのリセットはそれだけで追加コストが発生しますが、生産性の低下にもつながります。パスワードレス認証を導入すると、パスワード関連のITサポートコストが削減されて生産性が向上するだけでなく、ユーザーは快適なログイン体験を享受できます。

パスワードレス認証の欠点

パスワードレス認証を導入することの大きな欠点の1つは、組織にとってコストが高くなる可能性があることです。というのも、組織がパスワードレス認証を導入するにあたってハードウェアやソフトウェアの購入が必要となる場合があるためです。それでもサイバー攻撃で重大な経済的損失を被り、評判が損なわれる可能性を考慮すると、組織にとってのパスワードレス認証導入に対する投資収益率 (ROI) は高くなります。