加藤です。
ここのところ「パスワードレス」なんて言葉がよく聞かれるようになりました。
まぁ、言うならそのままなんですが「パスワードを用いないで認証・認可を行う」というもの。
細かいお話は別の機会にするとして、この「パスワードを用いない」とすれば、
一体なにで認証をするのか?という概念のお話を少し。
まず最初に思い浮かぶのは指紋などの生体認証ですね。
これもパスワードを用いない代表的なものです。
次にスマートフォンや認証専用機器を使った物理認証。
FIDO(ファイド)対応機器やスマートフォンの認証アプリをキーにして、
本人確認を行うというもの。
最近、このパターンが増えてきたように感じています。
ちなみにこの物理認証に先に述べた指紋などの生体認証を組み合わせることで、
完全にパスワードレスを目指す取り組みも多いようです。
というように、もうパスワードレスでいいじゃないかと思われる方も多いかもしれませんが、
実はこれすぐには完全パスワードレスにはできないんです。
理由は簡単で「システムの対応が追い付いていない」からなんです。
認証の仕組みも詳しくは別の機会にいたしますが、なにかを処理するシステムが、
そこにアクセスしてきた人が、システムを利用する権利があるかどうか?を確認したいわけで、
いままでここでIDとPWが用いられてきました。
これをごっそりパスワードレスに置き換えないといけないということです。
当然システム改修が大規模になりますし、金融系においてはおいそれと変更できないものも
多いと聞きます。
そこでワンタイムパスワードとの組み合わせというのが妥協案として生まれてきております。
SFの世界で網膜認証だけですべてが完了してしまうなんてものがありましたが、
そういう世界が実現するにはまだまだ時間がかかりそうです。
とはいえ、パスワードレスは自身を守るための有効な手段ですので、
ぜひ一度調べてみてはいかがですか?
