FIDO2認証でAndroid上のアプリやサービスのパスワードレス化がさらに進む

今日(米国時間2/25)、GoogleとFIDO Allianceは Google Playを搭載したv7.0(Nougat)以降のAndroidがFIDO2準拠の認証を受けたと発表した。 これだけ聞くと何か退屈なニュースに思えるかもしれないが、そうではない。

これによってデベロッパーはユーザー認証にパスワードではなく、デバイスの指紋スキャナーやFIDO準拠のセキュリティー・キーを利用したアプリを開発できるようになる。

ログインの際いちいち長たらしいパスワードを入力するのが好きなユーザーはいない。しかもIT部門が社員に定期的なパスワードの変更を強制するようになってパスワードはますます厄介なものになってきた。

デベロッパーは、ウェブサービス、ネイティブ・アプリの双方でパスワードなしのログインを実装できる。 Chrome、Microsoft Edge、Firefoxの各ブラウザはすでにこの機能をフルにサポートしている。AppleのSafariもサポートしているが、プレビューのみだ。FIDO2は悪意あるサイトの認証を許可しないため、利便性に加えてセキュリティーを強化し、フィッシング防止にも効果が大きいという。

Googleのプロダクトマネージャー、Christiaan Brandはこう述べている。

Googleは長年、FIDO AllianceおよびW3Cと協力し、FIDO2プロトコルの標準化に努めてきた。FIDO2はパスワードを使わずにフィッシング攻撃からの保護をアプリケーションに提供するテクノロジーだ。今日のAndroidのFIDO2認証の発表は、このイニシアチブを前進させる大きな一歩となる。われわれのパートナー、デベロッパーにあらゆるAndroidデバイスでキーストア・システムにアクセスするための標準化された手段を提供する。これは既存のデバイスのアップデートでも、今後発表されるモデルにも有効であり、ユーザーに指紋スキャナーなどのバイオメトリクス・データによる認証手段を提供する。

Androidはーティブ・アプリに関してはすでにパスワードレスの認証をサポートしている。しかし今後はブラウザを通じてログインすることが必要なサービスにもパスワードレス認証が拡大されることになる。ユーザーがこの機能を設定し(かつウェブ・サービス側でもサポートすれば)、デバイスは指紋などあらゆるバイオメトリクス・データを暗号化して安全に保存する。第三者にはこのデータを読み取る方法はない。

FIDO Allianceによれば、この新しいメカニズムは最新のAndroidを搭載した10億台のスマートフォンで有効になり、パスワードレスのログインを可能にするという。ウェブであれネーティブ・アプリであれ、この機能を利用するにはまずデベロッパー側でコードをアップデートする必要がある。しかしこれは技術的に比較的簡単だという。

原文へ

滑川海彦@Facebook Google+