パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか?

2022年6月13日

LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。

LastPassと1Passwordは、いわゆる「パスワードマネージャ」と呼ばれる分野のサービスです。Webブラウザと連携し、Webサイトへのログイン時に要求されるログイン名とパスワードを記憶し、人間の代わりに入力してくれます。

ユーザーはパスワードマネージャにいちどログインすれば、いちいちWebサイトごとにログイン名やパスワードを思い出すことなく自動的にログインできる利便性が得られます。

それ以外にも、ランダムで強度の高いパスワードを自動生成してくれることでパスワードの使い回しを防ぎ安全性を高める効果や、PCを入れ替えてもパスワードマネージャの移行ですぐに自動ログイン環境を再現できるといった効果もあります。

LastPassは、マスターパスワードをパスワードレスにする

FIDO/WebAuthn対応を表明したLastPassと1Passwordですが、どのように実装する予定なのか、そのアプローチは異なっています。

LastPassでは、マスターパスワードの代わりに指紋認証や顔認証といったパスワードレスで認証するための技術を採用すると説明しています。下記は同社のブログ「Passwordless Is Possible: LastPass Gets You There Sooner - The LastPass Blog」からの引用です。

Once you pair LastPass Authenticator to your LastPass vault, you’ll be able to enjoy one-tap login that’s password-free, which means no more master password to access your vault.

LastPass AuthenticatorをLastPassのデータ保管庫にペアリングすれば、パスワード不要でワンタップログインが可能になります。つまりデータ保管庫へのアクセスのためのマスターパスワードが不要になるのです。

文中で登場するLastPass Authenticator(LastPass認証器)がFIDO/WebAuthnに対応し、スマートフォンの指紋認証や顔認証などによるパスワードレスで認証するデバイスとなるのでしょう。そしてパスワードレスで認証が済めば、LastPassに登録済みのWebサイトへはワンタップでログインできるようになるのだと読み取れます。

マスターパスワードをFIDO/WebAuthnによってパスワードレスにするのは、直感的な実装ではないかと思います。

1Passwordは仮想的な本人確認デバイスとして振る舞う

一方、1Passwordの実装は少しひねった実装のように見えます。1Passwordによる説明を、ブログ「We’ve joined the FIDO Alliance to build a better future for authentication | 1Password」から引用します。

In time, you’ll be able to use your 1Password desktop application as a WebAuthn device.

実装されたときには、1PasswordのデスクトップアプリケーションをWebAuthnデバイスとして使用することができるようになります。

これはどういうことかというと、FIDO/WebAuthnではログイン時にはパスワードの代わりに指紋認証や顔認証、もしくはPINの入力といった方法で(パスワードを入力する代わりに)本人確認を行うわけです。この本人確認処理はPCやスマートフォンなどのローカルデバイス上で行われます。

上記の1Passwordの説明で出てくる「WebAuthnデバイス」とは、この本人確認を行うローカルデバイスのことを指すと考えられます。つまり1Passwordのデスクトップアプリケーションが、仮想的な本人確認用デバイスとして振る舞えるようになるということです。

ということは、1Passwordのデスクトップアプリケーションを本人確認を済ませた上で有効にしておけば、ログインしようとするWebサイトごとにいちいち指紋認証などの操作をしなくても、1Passwordのデスクトップアプリケーションが自動的に認証操作を行ってくれてログイン操作まで済ませてくれる、という動作になると想像されます。

つまりFIDO/WebAuthnに対応したWebサイトに対してはFIDO/WebAuthn認証器として振る舞えるようになり、未対応のWebサイトに対してはこれまで通りユーザーIDとパスワードを送信してくれることで、どちらに対しても自動的なログイン操作をまかせることができるようになる、ということなのでしょう。

パスワードレスの時代にパスワードマネージャの価値とは

FIDO/WebAuthnの登場と進化によって、パスワードを覚える必要がなくなるだけでなく、指紋認証などによる簡単なログイン、デバイス間でのクレデンシャルの同期やバックアップなどの安全かつ便利なログイン機能がパスワードレスの標準的な機能として実装されようとしています。

参考:Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア

それは、これまでそうした安全性や利便性を提供してきたパスワードマネージャの存在意義や付加価値が改めて見直されることにもつながります。LastPassや1Passwordのパスワードレスへの対応は、それに対してそれぞれが別の答えを提示しつつあることを示しているようです。

FIDO/WebAuthnの関連記事

あわせて読みたい

セキュリティ FIDO/WebAuthn Passkey




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本