パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか?
LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。
Passwordless is possible. Introducing Passwordless login by LastPass. The first password manager committed to a FIDO-supported #Passwordless future. Learn more: https://t.co/8UKhZPrkcZ pic.twitter.com/Nzk3F7payK
— LastPass (@LastPass) June 6, 2022
We’ve joined the @FIDOAlliance
— 1Password (@1Password) June 3, 2022
We’re taking an active role, alongside our industry peers, to help shape the future of authentication.
Here’s everything you need to know, and a sneak peek of passwordless support in 1Password:https://t.co/ABW0ypSy1O
LastPassと1Passwordは、いわゆる「パスワードマネージャ」と呼ばれる分野のサービスです。Webブラウザと連携し、Webサイトへのログイン時に要求されるログイン名とパスワードを記憶し、人間の代わりに入力してくれます。
ユーザーはパスワードマネージャにいちどログインすれば、いちいちWebサイトごとにログイン名やパスワードを思い出すことなく自動的にログインできる利便性が得られます。
それ以外にも、ランダムで強度の高いパスワードを自動生成してくれることでパスワードの使い回しを防ぎ安全性を高める効果や、PCを入れ替えてもパスワードマネージャの移行ですぐに自動ログイン環境を再現できるといった効果もあります。
LastPassは、マスターパスワードをパスワードレスにする
FIDO/WebAuthn対応を表明したLastPassと1Passwordですが、どのように実装する予定なのか、そのアプローチは異なっています。
LastPassでは、マスターパスワードの代わりに指紋認証や顔認証といったパスワードレスで認証するための技術を採用すると説明しています。下記は同社のブログ「Passwordless Is Possible: LastPass Gets You There Sooner - The LastPass Blog」からの引用です。
Once you pair LastPass Authenticator to your LastPass vault, you’ll be able to enjoy one-tap login that’s password-free, which means no more master password to access your vault.
LastPass AuthenticatorをLastPassのデータ保管庫にペアリングすれば、パスワード不要でワンタップログインが可能になります。つまりデータ保管庫へのアクセスのためのマスターパスワードが不要になるのです。
文中で登場するLastPass Authenticator(LastPass認証器)がFIDO/WebAuthnに対応し、スマートフォンの指紋認証や顔認証などによるパスワードレスで認証するデバイスとなるのでしょう。そしてパスワードレスで認証が済めば、LastPassに登録済みのWebサイトへはワンタップでログインできるようになるのだと読み取れます。
マスターパスワードをFIDO/WebAuthnによってパスワードレスにするのは、直感的な実装ではないかと思います。
1Passwordは仮想的な本人確認デバイスとして振る舞う
一方、1Passwordの実装は少しひねった実装のように見えます。1Passwordによる説明を、ブログ「We’ve joined the FIDO Alliance to build a better future for authentication | 1Password」から引用します。
In time, you’ll be able to use your 1Password desktop application as a WebAuthn device.
実装されたときには、1PasswordのデスクトップアプリケーションをWebAuthnデバイスとして使用することができるようになります。
これはどういうことかというと、FIDO/WebAuthnではログイン時にはパスワードの代わりに指紋認証や顔認証、もしくはPINの入力といった方法で(パスワードを入力する代わりに)本人確認を行うわけです。この本人確認処理はPCやスマートフォンなどのローカルデバイス上で行われます。
上記の1Passwordの説明で出てくる「WebAuthnデバイス」とは、この本人確認を行うローカルデバイスのことを指すと考えられます。つまり1Passwordのデスクトップアプリケーションが、仮想的な本人確認用デバイスとして振る舞えるようになるということです。
ということは、1Passwordのデスクトップアプリケーションを本人確認を済ませた上で有効にしておけば、ログインしようとするWebサイトごとにいちいち指紋認証などの操作をしなくても、1Passwordのデスクトップアプリケーションが自動的に認証操作を行ってくれてログイン操作まで済ませてくれる、という動作になると想像されます。
つまりFIDO/WebAuthnに対応したWebサイトに対してはFIDO/WebAuthn認証器として振る舞えるようになり、未対応のWebサイトに対してはこれまで通りユーザーIDとパスワードを送信してくれることで、どちらに対しても自動的なログイン操作をまかせることができるようになる、ということなのでしょう。
パスワードレスの時代にパスワードマネージャの価値とは
FIDO/WebAuthnの登場と進化によって、パスワードを覚える必要がなくなるだけでなく、指紋認証などによる簡単なログイン、デバイス間でのクレデンシャルの同期やバックアップなどの安全かつ便利なログイン機能がパスワードレスの標準的な機能として実装されようとしています。
それは、これまでそうした安全性や利便性を提供してきたパスワードマネージャの存在意義や付加価値が改めて見直されることにもつながります。LastPassや1Passwordのパスワードレスへの対応は、それに対してそれぞれが別の答えを提示しつつあることを示しているようです。
FIDO/WebAuthnの関連記事
あわせて読みたい
クラウド運用担当者の失敗話や苦労話、学びを共有し、技術の底力を高めよう。「Cloud Operator Days Tokyo 2022」が開幕[PR]
≪前の記事
ワールドワイドのIaaSクラウド市場シェア、2021年は1位AWS、2位マイクロソフト、3位にはAlibaba、4位がGoogleとの調査結果。ガートナーが発表