Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

パスワードを忘れよう(後編)

 パスワードなしにどうやってサイトにアクセスするかと言うと、技術的には「生体認証」ということになる。先週日本のイミグレーションで「自動認証ゲート」が導入されて重宝していることを紹介しているが、ここでも「顔認証」の技術的が用いられている。パスポートの顔写真とそこに立っている人物の顔を比較して、「一致・不一致」を自動判別しているのだ。

 

 かなり以前から、生体認証技術そのものはある。当時は「指紋」だったが「犯罪者などの指紋押捺」などを想起させるために、あまり普及しなかった。25年ほど前だろうか、ATMの4桁暗証番号を搾取されて預金を引き出される被害が多く出た。その時ATMメーカーが出した対策が、「静脈認証」というもの。A社は指静脈を、B社はてのひら静脈を使っていたが、技術としてはほぼ同じだ。

 

 ただこれもATM上にあるセンサーが読み取った静脈パターンを比較するデータを、キャッシュカード中のICに記憶させないといけないので、磁気のキャッシュカードをICカードに替える必要があって十分普及しなかった。

 

    f:id:nicky-akira:20190929074106j:plain

 

 今回Yahoo! Japanの人に教えてもらったのが、スマホで指紋を登録してこれをパスワード代わりに使ってサイトにアクセスするという仕掛け。「Fast IDentity Online」(FIDO)という認証技術である。

 

https://techblog.yahoo.co.jp/advent-calendar-2018/webauthn/

 

 サイトにアクセスしようとすると、ID・パスワードを聞いてくる。IDは仕方ないのだがパスワードの代わりに「これを操作している人は認証されていますよ」という情報をスマホがサイトのサーバーに送るのだ。サーバーはパスワードを貰って自分が記録しているものと一致を図るのではなく、上記のメッセージを受け取ってこれが真正であることを確認したらサイトをOpenする。

 

 この「真正」を判断する基準は「公開鍵と秘密鍵による暗号化方式」で暗号化されたものなので、盗んだりなりすましたりすることは難しい。少なくともID・パスワード方式よりは数桁上がった安全性がある。「指紋」以外にも、カメラを使った「顔認証」もできるようだから、じきに指をケガしても使えるようになるだろう。何十年も前から基礎技術はある「生体認証」、ようやく広く実用化されそうですね。