ヤフーは「パスワードを使わないログイン=パスワードレス」、特に生体認証(FIDO認証)によるログインを推奨しています。
今回は、パスワードを使ったログインの課題、生体認証によるログインのメリットと設定方法について、テクノロジーグループサービス統括本部でパスワードレスを推進している樋口に聞きました。
テクノロジーグループサービス統括本部 樋口
複数のウェブサービスを利用されているのではないかと思いますが、どのようにパスワードを管理されていますか?
サービスごとに違うパスワードにしているとわからなくなったので、難しくした1つのパスワードを使いまわしています。
パスワード管理の実態
2022年にヤフーが実施した調査の結果、約61%の人がパスワードを使いまわしていると回答しました。
パスワードの使いまわしは、第三者が不正に入手したID・パスワードのリストで各種サービスへの不正ログインを試みる、いわゆる「リスト型攻撃」の被害にあう可能性が高まります。
インターネットサービスやスマートフォンアプリにログインする際、IDやパスワードを忘れて困った経験はありませんか?
メモをしているのですが、どのサービスのパスワードだったかわからなくなって、ログインできなかったことがありました。そのたびに、パスワードを再設定していました。
パスワードを忘れてログインできなかった経験がある人は、約87%という調査結果もあります。
複数のサービスを利用しているので、どのサービスのパスワードかわからなくなったのかもしれません。
パスワードのセキュリティを高くするには、パスワードは複雑にしないといけない、でも複雑にすると覚えておくのが大変。どうしたらいいのでしょうか?
ずばり、パスワードを使用しなければよいのです。
え? パスワードを使わない?
どうやってログインするの?
パスワードレスとは
ヤフーは「パスワードを使わないログイン=パスワードレス」を推奨しています。
「パスワードレス」とは、サービスを使用する際に求められるIDとパスワードという組み合わせから、「パスワード」をなくすことです。パスワードを使わないことで、使いまわしや弱いパスワードの利用を防ぎ、容易に盗まれたり不正にログインされたりする危険を抑えられるというメリットがあります。
ヤフーでは、パスワードに代わる認証手段として主に下記の手段を提供しており、月間で約4,000万のユーザーがパスワードレスを利用しています。
・SMS 認証:
携帯電話宛てに送信されたSMSに記載のある確認コードを入力してログインする仕組み
・生体認証(FIDO認証):
携帯電話やパソコンなどの端末上の生体認証を使ってログインする仕組み
| パスワード | パスワードレス | 安全性 | 複数のサービスで同じパスワードを使用していると、いずれかのサービスからログイン情報が盗まれた場合、他のサービスにも不正にログインされてしまう | パスワードによるログインができなくなり、第三者が不正に入手したIDやパスワードでログインができなくなる。不正アクセスのリスクを低減できる | 使い勝手 | ・複数サービスで異なるパスワードを設定して覚えておくことが大変 ・パスワードを忘れたときにログインできなくなる |
パスワードを覚えておく必要がない |
|---|
ここでクイズです。パスワード、SMS、生体認証の認証時間、どれが一番ログインまでの時間が速いと思いますか?
うーん…。パスワードも覚えていればすぐに入力できますよね。
答えは生体認証です!
生体認証:平均8秒
パスワード:平均21秒
SMS:平均27秒
生体認証は便利そうですが、企業に生体情報を預けるのは少し不安です…。
生体認証(FIDO認証)は端末上で行われるため、ユーザーのみなさまの生体情報がヤフーへ送信されたり保存されたりすることはありません。
ここまで聞いてきて、パスワードレスログインにした方が安全で便利、その上、ログイン時間も短いことがわかりました。設定をしてみようと思うので、やり方を教えてください!
参考)WebAuthnを用いたパスワードレス生体認証のユーザビリティ調査
パスワードレス(指紋や顔による生体認証)の設定方法
今回は、ヤフーが利用拡大を進めている、指紋や顔による生体認証(FIDO認証)の設定方法をご紹介します。
簡単ですので、一緒に設定してみましょう。
ブラウザー(PC、スマホ)、アプリ両方で生体認証(指紋・顔)をご利用いただくためには、それぞれ設定が必要です。
1)スマホ
【アプリ】
生体認証に対応しているヤフーの対象アプリのメニュー内
「その他」>「設定」、または「マイページ」から設定をONにしてください。
※事前に対応バージョンのアプリへのアップデートが必要です
※対象アプリ:Yahoo!ショッピング ・Yahoo! JAPAN・ヤフオク!・PayPayフリマ・Yahoo!メール
(Androidの場合は、ブラウザーまたはアプリで設定すると、その端末内でブラウザー、対象アプリどちらでも生体認証が利用できます)
【ブラウザー】
スマートフォンのブラウザーで、以下の設定ページにアクセスして設定できます。
・iOS(SafariまたはGoogle Chrome)
・Android(Google Chrome)
2)PC
PCのブラウザーで、以下の設定ページにアクセスして設定できます。
生体認証によるログイン設定
設定できました。普段からスマートフォンのロック解除には生体認証を使っていますが、それと同じ要領で設定できるので簡単でした。これでパソコンからログインする時にも生体認証を使えるのでしょうか?
生体認証は端末ごとに設定する必要があります。
スマートフォンとパソコンをお使いの場合には、それぞれに設定が必要です。
ただし、AppleやGoogleなどでは「パスキー」という新機能の採用が進んでおり、パスキーに対応した環境で生体認証を設定すれば、他の端末でも設定することなく使うことができますよ。
※Yahoo! JAPAN IDにおけるAndroid端末でのパスキーの利用は近日対応予定です
なるほど! 家に帰ってパソコンの生体認証も設定してみます。
本日はありがとうございました。
今後も、ユーザーのみなさまに安全・安心にサービスを使っていただけるよう、さらにサービスの利便性を高めていきます。
ヤフーは2017年からパスワードレスを推進 取り組みの歴史
- 2014年
- FIDO Allianceスポンサーメンバーに加盟
- 2015年
- FIDO UAF 1.0認定取得
- 2017年4月
- パスワードを使わないログイン方法(SMS認証)の導入を開始
- 2018年5月
- 既存パスワードの無効化機能の提供を開始
- 2018年9月
- FIDO2認定を国内企業として初取得、10月に商用サービスに世界初導入
- 2018年12月
- FIDO Allianceボードメンバーに加盟
- 2021年2月
- AndroidやiOSのスマートフォンアプリやブラウザーからの利用においては生体認証に対応
- 2021年12月
- PCブラウザーからの利用においても生体認証に対応
- 2021年9月
- 「パスワードレス個人認証の研究開発、国際標準化、並びに商用化」について「第69回電気科学技術奨励賞」を受賞
- 2022年9月
- iPhoneの「パスキー」に対応
- 2022年10月
-
iPad,Macの「パスキー」に対応
現在アクティブログインユーザーの半数以上がパスワードレスログイン(SMS認証、生体認証)を利用中
参考)個人認証の歴史「IDとパスワード」から「パスワードレス」まで