パスワードレス認証とは
パスワードを一切使わずにログインする認証方式
パスワードレス認証とは
パスワードレス認証は、文字通りパスワードを使わずにユーザーを認証する方式の総称だよ。パスワードに起因するセキュリティリスク(使い回し・フィッシング・漏洩)をゼロにできる、次世代の認証アプローチなんだ。
パスワードレス認証の種類
生体認証
スマートフォンの指紋センサーや顔認証を使ってログインする。パスキー/WebAuthnと組み合わせることが多いよ。
マジックリンク
ログイン画面でメールアドレスを入力すると、ワンタイムのログインリンクがメールで届く。リンクをクリックするだけでログイン完了。
パスキー(Passkey)
公開鍵暗号を使ったFIDO2準拠の認証。現在最もセキュリティが高いパスワードレス手段だよ。
ハードウェアキー
YubiKeyなどの物理デバイスをUSBやNFCで接続して認証する。
なぜ今パスワードレスなの?
データ漏洩の80%以上がパスワードに関連するという調査結果があるよ。パスワードそのものをなくすことで、パスワード関連の攻撃を根本的に防げるんだ。
現状と移行期
まだ多くのサービスはパスワードを主体としていて、パスワードレスはオプションや2要素目として提供されることが多い。でも、主要プラットフォームがパスキーに積極的に取り組んでいるので、数年内にパスワードレスが標準になっていくかもしれないね。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。