Googleは今朝(米国時間12/22)、ユーザーがアカウントにパスワードを入力せずにログインできる新しいテクノロジーをテス中であることを確認した。この実験に招待されたユーザーは本人の所有するスマートフォンに送られたメッセージに返信することによって正当性が認証される。このアイディア自体はYahooが最近スタートさせたアカウント・キー方式に近い。Yahooはアカウントの持ち主にプッシュ通知を送り、それに対する回答によってログインの承認を行っている。.
パスワードは往々にしてキュリティーシステムでもっとも弱い環を形成してしまう。多くのユーザーは覚えにくい複雑なパスワードを使うことを嫌い、また単一のパスワードを多数のサービスで使い回す傾向がある。 各種の2段階認証、秘密鍵を保管したUSBスティックの利用やスマートフォンに送られた秘密の数字を入力するなどの方法はセキュリティーを強化するために有効だと確認されている。しかしユーザーはこうした手順を追加することは面倒だとして嫌う傾向がある。
それに対して今回Googleがテストしているようなパスワードなしの方式は全く新しいテクノロジーによって安全で高速なログインを実現しようとするものだ。
ユーザーはGoogleアカウントを開設するにあたってメールアドレスを入力するだけでよい。以後アカウントにアクセスしようとすると、Googleはスマートフォンに「あなたはこのデバイスからログインを試みています」という通知が送られる。ユーザーが「はい(Yes)」をタップするとログインが成立する。
この方式はデスクトップでGoogleアカウントを利用する際でも常に身近にスマートフォンを持っているユーザーにはきわめて便利なものだ。また強度の高いパスワードの暗記やタイプ入力を嫌うユーザーにも快適だろう。
Googleはまたこの新方式でフィッシング詐欺の追放を図っている。現在Googleは不審なログインに対してパスワード警告を送ることで対処している。
今回の実験はRedditのユーザー、Rohit Paulによって最初に発見され、その情報がAndroid Policeを通じて拡散した。Paulによれば、Googleからの招待を受け取って実験グループに加わったものという。
このグループの名称は“Sign-In Experiments at Google”といい、こちらのGoogle Groupsの一つだ。グループへのリンク自体は公開されているが内容を見ることができるのはGoogleから招待を受けたメンバーだけになる。
Googleの広報担当者は、TechCrunchの取材に対し、次のように新しい実験が進行中であることを確認した。
私たちは少数のユーザーを新しい実験に招待し、パスワードなしでGoogleアカウントを利用するテストに協力してもらっています。パスワードとしてPizza、password、123456といった強度の低い文字列を利用する日は終わりに近づいています。
招待を受けたユーザーが実験に参加することを承諾すると、パスワードを入力する必要がなくなるが、もしそうしたければ従来のパスワードを入力する方式も利用可能だと説明される。なんらかの理由で携帯電話が利用できない場合、パスワード入力が使えないと非常に不便だ。
またログインの試みに不審な点があった場合、Googleが従来のパスワードをユーザーに尋ねるというセキュリティー強化の試みを許可するオプションもある。
携帯電話を紛失した、あるいは盗難にあった場合、そのデバイスのロックないしTouch IDがセキュリティーの強度を決めることになる。Googleでは追加の安全措置として、携帯の紛失に気づいた場合、すぐに別のデバイスからログインし、紛失したデバイスからのログイン権限を削除するよう勧めている。
Googleによれば、実験はユーザーの都合でいつでも止めることができる。またテストには参加するが、その結果の情報yをGoogleに送信することは拒否してもよい。
現時点でこの試みに招待されているのは比較的少数のユーザーのようだ。Googleでは実験の拡大ないし新方式の一般公開のスケジュールに関しては何も発表していない。新方式は現在iOSとAndroidデバイスで実験されている。
〔日本版〕Googleの日本語アカウントの2段階認証ページ。日本のGoogleではパスワードなしログインに関連する動きはまだ発見できない。記事中の「(強度の低い)パスワードの時代は終わろうとしています」というフレーズから判断すると新ログイン方式が大規模に導入される可能性はありそうだ。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)