GoogleがAndroidデバイスの指紋認証または画面ロックのPINコード、パターンを使ってサービスにログインできる新しい認証機能をリリースした。
新しい認証機能はGoogleが提供する一部のサービスに導入されている。これまではパスワードや2段階認証による認証コードの入力、信頼性の高いデバイスからの認証が必要だった。
画面ロックを解除する要領で本人認証
これまでは認証が必要なサービスにアクセスすると、メールアドレスやパスワードを入力する画面が表示されていた。ここ数年でアカウント情報の自動入力が強化されたことで便利になったとは言え、まだまだ手間がかかっていたが、新しい認証機能が導入されたことで劇的にカンタンになった。
今日からAndroid版Chromeでpasswords.google.comなど一部のGoogleサービスにアクセスすると、アカウント情報を入力する画面ではなく“本人であることの確認”という画面が表示される。「Continue」をタップすると“指紋認証を行ってください”のメッセージが表示されて本人確認が促される。
本人確認は画面ロックが設定されたAndroidで利用可能。パスワードの代わりにAndroidデバイスの画面ロックを解除するための指紋認証やパターン、PIN、パスワードといった方法で本人確認をするとサービスにアクセスできる。
新しい認証機能が導入されたのは、デバイスから最近ログアウトした場合や新しいデバイスからのログイン、Chromeに保存したパスワードの表示、再設定用情報の変更、データのダウンロードといった場面。ユーザーが新しいデバイスを使用したり、普段と異なる場所にいるなど、Googleが通常とは何かが異なることに気付いた場合に動作する可能性が高くなるという。
重要なのはパスワードを自動入力するためのショートカットではなく、そもそもパスワードがいらないということだ。
高いセキュリティと利便性を両立した新しい認証方式
The Vergeによると、Googleの新しい認証機能はパスワードによる認証のかわりに指紋認証や顔認証といった生体認証、スマートフォン、セキュリティキーを利用する認証規格「FIDO2」とJavaScript API「WebAuthn」によって実現されているとのこと。
新しい認証機能には公開鍵と秘密鍵の2つを使って認証する公開鍵暗号方式が採用。秘密鍵はデバイスの安全な領域に保存され、公開されることを前提にした公開鍵がサーバに保存されるため、流出したパスワードを使って不正アクセスを試みるリスト攻撃は通用しない。
また、本人だけが所有するデバイスでの指紋認証等が必要になるため、パスワードの安易な設定や使い回しに相当するぜい弱性も存在しない。デバイスを落とした時のリスクはあるが、Androidは遠隔で初期化することもできる。
セキュリティの高さやユーザー負担が少ないことからパスワードなしでのログインは今後、急速に広まっていくのは間違いなさそうだ。
なお、現時点では一部のAndroidデバイスでのみ利用できるが、今後「FIDO2」をサポートするAndroid 7.0 Nougat以降のすべてのAndroidデバイスで利用可能になるとのこと。
