MicrosoftでWindows95の設計に携わり、現在は米シアトル等世界中で活躍する世界的エンジニアの中島聡さん。中島さんは自身のメルマガ『週刊 Life is beautiful』で、インターネットが普及して20年以上経つ現在も扱いに苦労する人が絶えない「ユーザーID」と「パスワード」の問題について取り上げています。パスワードは長く複雑なものが求められる傾向にありますが、この長年の問題に終止符を打つかもしれない画期的な認証方法を紹介しています。
※ 本記事は有料メルマガ『週刊 Life is beautiful』2018年4月24日号の一部抜粋です。ご興味をお持ちの方はぜひこの機会にバックナンバー含め今月分すべて無料のお試し購読をどうぞ。
プロフィール:中島聡(なかじま・さとし)
ブロガー/起業家/ソフトウェア・エンジニア、工学修士(早稲田大学)/MBA(ワシントン大学)。NTT通信研究所/マイクロソフト日本法人/マイクロソフト本社勤務後、ソフトウェアベンチャーUIEvolution Inc.を米国シアトルで起業。現在は neu.Pen LLCでiPhone/iPadアプリの開発。
20年経っても変わらない、ネットの「パスワード」問題
インターネットのサービスを使う誰にとっても重要な話なので、簡単に解説します。
インターネットが一般に普及し始めてから20年以上経ちますが、各種のウェブサービスを使う際に、ユーザーIDとパスワードが必要という部分に関しては、ほとんど進化していません。
特にパスワードに関わるユーザー体験は、本当にひどいものです。全てのサービスで同じパスワードを使うのは危険なことは分かっているのですが、サービスごとに別のパスワードを使うと覚えるのが大変です。さらに、パスワードに使うべき文字の扱いがサービスごとに微妙に違っていたり、パスワードの定期的な更新を迫るサービスまであり、問題をさらに複雑にしています。
また、一つのパソコンを複数のユーザーで共有する場合にも様々な問題が生じます。ブラウザーがユーザーIDとパスワードを覚えていた場合、本来ならば本人しかアクセス出来ないはずの情報に他のユーザーがアクセスできてしまうのです。
このように、インターネットに何らかの形でアクセスする人で、パスワードやユーザー認証の扱いに苦労していない人はいないと言っても過言ではありません。
さらに問題なのは、このパスワードによる認証が必ずしも安全ではない点です。ユーザーのパスワードの管理は、サービス側に任されているため、パスワードをそのまま(暗号化せずに)データベースにしまっている会社が、未だに多数あります。
ウェブサイトのなりすまし(フィッシング)をすれば、ユーザーからパスワードを盗むことも簡単に出来てしまいます。
つまり、パスワードを使ったユーザー認証は、使い勝手が悪い上に、十分な安全性を担保できない、とても未成熟な技術なのです。
オンラインバンキング(ネット銀行)などは、安全性を確保するために、二段階認証などを使い始めていますが、ログインに手間がかかる上に、「パスワードを覚えておかなければならない」という根本的な欠点の解決にはなっていません。
そこで作られたのが、FIDO Alliance(ファイドアライアンス)という組織です。元々は、指紋などを利用した生体認証をウェブサービスのユーザー認証に使うことを目的にして作られた組織ですが、現在では、クライアント側での認証とウェブサービス側での認証を切り離した形の、オープンなプロトコル(通信規約)を策定する組織になっています。
FIDOが提案するプロトコルに関する解説は、How FIDO Worksというページに分かりやすく解説してありますが、一言で言えば、公開鍵を活用したウェブサービスの認証です。
ウェブサービス側からクライアントを見た場合、ユーザー登録時にはクライアントからユーザーIDに結びついた公開鍵が送られてくるだけです。
複雑なことをしているのはクライアント側です。(ユーザー登録時に)生成した秘密鍵は、指紋認証・顔認証・NFC・Bluetooth・物理鍵などを使ったクライアント側の認証がされた場合のみに引き出せるように、(必要であればハードウェアも活用して)作っておくのです。
ログインは、ウェブサービス側からLogin Challengeを送ると、秘密鍵を持ったクライアントだけが作ることの出来るLogin Responceを返して来ることによって行われます。この部分に関しては、公開鍵を使った認証方法としてごく一般的なもので、実装は全く難しくありません。
この手法が素晴らしいのは、「秘密鍵の取り出し」に関わる部分が100%クライアント側に任されており、パソコンやスマートフォンを作っているハードウェアメーカーが、(MacBook のような)指紋の読み取り機などをハード的に追加することにより、パスワードよりもはるかに強いセキュリティを設けることが可能な点です。
そして、ウェブサービス側は、煩雑な生体認証 API などから解放され、幅広く使われている公開鍵だけを使ったシンプルな認証だけをすれば良いのです。これにより、ウェブサービス側の不手際により、パスワードや秘密鍵が漏洩する可能性は完全に排除されることになります。
すでに Microsoft、Google、Mozilla が WebAuthnのサポートを表明しており(Apple はプロトコルの策定には関わっていましたが、具体的なサポートのタイミングはまだ表明していません)、これが普及すれば、パスワードなしで安全にアクセス出来るサイトが増えることになります。
そうは言っても、(ユーザーへの)WebAuthnをサポートするブラウザーの普及には時間がかかるし、 既存のウェブサービスも、いきなりパスワードを廃止することは出来ないので、一般ユーザーがパスワードを覚えなくて良くなるまでは少なくとも数年はかかると思います。
image by: shutterstock.com
※ 本記事は有料メルマガ『週刊 Life is beautiful』2018年4月24日号の一部抜粋です。ご興味をお持ちの方はぜひこの機会にバックナンバー含め今月分すべて無料のお試し購読をどうぞ。
こちらも必読! 月単位で購入できるバックナンバー
※ すべて無料の定期購読手続きを完了後、各月バックナンバーをお求めください。
2018年3月分
●《今週のざっくばらん》2018年の自動車業界と2000年のコンピュータ業界/理科系の作文技術《私の目に止まった記事》How a Self-Driving Uber Killed a Pedestrian in Arizona/『すごいぞ、中国』という自画自賛映画を日本は笑っていられない/Liberal World Order, R.I.P.《質問コーナー》(2018/3/27)
●《今週のざっくばらん》なぜ日本企業は競争力を失ってしまったのか/潤沢な資金があったら立ち上げたいビジネス《私の目に止まった記事》Spielberg’s New Sci-Fi Movie May Play Well With Chip Investors/Schools Are Spending Millions on High-Tech Surveillance of Kids/Backlash grows over Chinese deals for Germany’s corporate jewels/「口から食べられない=寿命」変わる死生観で「自然死」急増の予兆《質問コーナー》(2018/3/20)
●《今週のざっくばらん》そして全てはソフトウェアになった《私の目に止まった記事》トヨタがEVシフトに見せる尋常ならぬ危機感/The rise of the ‘grocerant’: Grocery stores are stealing restaurant’s best ideas with ready-to-eat meals/Automated Vehicles Can’t Save Cities/あの頃、僕たちはiPhoneもAndroidもぶっ潰したかったんだ/ビル・ゲイツ「銀行は将来必要なくなる」/小田急電鉄の路線図はどこが変わったのか/Rippleの技術を使った銀行間送金アプリ「Money Tap」–コンソーシアムは61行が参加/人工の実験都市・深センをひっそり走る「自動運転バス」《質問コーナー》(2018/3/13)
●《今週のざっくばらん》フィッシング詐欺/暗号通貨がもたらしたもの/イスラム移民《私の目に止まった記事》「字幕グラス」で聴覚障害者がミュージカル楽しむ/燃料電池は終わったのか?/「日本版EV戦略」策定へ 世界的な電気自動車シフトへ対応/この冬 多発!ドライバー困らす『白信号』/高知県、シラスウナギの採捕期間延長 不漁が深刻/The billion dollar content race/Software Engineer salaries in 2018, tech levels, and lifestyle/少女アイドルに熱中する日本 「崇拝」か「小児性愛」か/A Tesla Semi electric truck could save us ‘tens of thousands of dollars a year’, says DHL/Chinese workers build railway station in just nine hours/Would you believe this? Steve Wozniak’s bitcoins actually got stolen/《質問コーナー》(2018/3/6)
※ 1ヶ月分864円(税込)で購入できます。