パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか?
今回は「パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか?」についてご紹介します。
関連ワード (下記、参考、普及等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。
Passwordless is possible. Introducing Passwordless login by LastPass. The first password manager committed to a FIDO-supported #Passwordless future. Learn more: https://t.co/8UKhZPrkcZ pic.twitter.com/Nzk3F7payK
— LastPass (@LastPass) June 6, 2022
We’ve joined the @FIDOAlliance
We’re taking an active role, alongside our industry peers, to help shape the future of authentication.
Here’s everything you need to know, and a sneak peek of passwordless support in 1Password:https://t.co/ABW0ypSy1O
— 1Password (@1Password) June 3, 2022
LastPassと1Passwordは、いわゆる「パスワードマネージャ」と呼ばれる分野のサービスです。Webブラウザと連携し、Webサイトへのログイン時に要求されるログイン名とパスワードを記憶し、人間の代わりに入力してくれます。
ユーザーはパスワードマネージャにいちどログインすれば、いちいちWebサイトごとにログイン名やパスワードを思い出すことなく自動的にログインできる利便性が得られます。
それ以外にも、ランダムで強度の高いパスワードを自動生成してくれることでパスワードの使い回しを防ぎ安全性を高める効果や、PCを入れ替えてもパスワードマネージャの移行ですぐに自動ログイン環境を再現できるといった効果もあります。
LastPassは、マスターパスワードをパスワードレスにする
FIDO/WebAuthn対応を表明したLastPassと1Passwordですが、どのように実装する予定なのか、そのアプローチは異なっています。
LastPassでは、マスターパスワードの代わりに指紋認証や顔認証といったパスワードレスで認証するための技術を採用すると説明しています。下記は同社のブログ「Passwordless Is Possible: LastPass Gets You There Sooner – The LastPass Blog」からの引用です。
Once you pair LastPass Authenticator to your LastPass vault, you’ll be able to enjoy one-tap login that’s password-free, which means no more master password to access your vault.
LastPass AuthenticatorをLastPassのデータ保管庫にペアリングすれば、パスワード不要でワンタップログインが可能になります。つまりデータ保管庫へのアクセスのためのマスターパスワードが不要になるのです。
文中で登場するLastPass Authenticator(LastPass認証器)がFIDO/WebAuthnに対応し、スマートフォンの指紋認証や顔認証などによるパスワードレスで認証するデバイスとなるのでしょう。そしてパスワードレスで認証が済めば、LastPassに登録済みのWebサイトへはワンタップでログインできるようになるのだと読み取れます。
マスターパスワードをFIDO/WebAuthnによってパスワードレスにするのは、直感的な実装ではないかと思います。
1Passwordは仮想的な本人確認デバイスとして振る舞う
一方、1Passwordの実装は少しひねった実装のように見えます。1Passwordによる説明を、ブログ「We’ve joined the FIDO Alliance to build a better future for authentication | 1Password」から引用します。
In time, you’ll be able to use your 1Password desktop application as a WebAuthn device.
実装されたときには、1PasswordのデスクトップアプリケーションをWebAuthnデバイスとして使用することができるようになります。
これはどういうことかというと、FIDO/WebAuthnではログイン時にはパスワードの代わりに指紋認証や顔認証、もしくはPINの入力といった方法で(パスワードを入力する代わりに)本人確認を行うわけです。この本人確認処理はPCやスマートフォンなどのローカルデバイス上で行われます。
上記の1Passwordの説明で出てくる「WebAuthnデバイス」とは、この本人確認を行うローカルデバイスのことを指すと考えられます。つまり1Passwordのデスクトップアプリケーションが、仮想的な本人確認用デバイスとして振る舞えるようになるということです。
ということは、1Passwordのデスクトップアプリケーションを本人確認を済ませた上で有効にしておけば、ログインしようとするWebサイトごとにいちいち指紋認証などの操作をしなくても、1Passwordのデスクトップアプリケーションが自動的に認証操作を行ってくれてログイン操作まで済ませてくれる、という動作になると想像されます。
つまりFIDO/WebAuthnに対応したWebサイトに対してはFIDO/WebAuthn認証器として振る舞えるようになり、未対応のWebサイトに対してはこれまで通りユーザーIDとパスワードを送信してくれることで、どちらに対しても自動的なログイン操作をまかせることができるようになる、ということなのでしょう。
パスワードレスの時代にパスワードマネージャの価値とは
FIDO/WebAuthnの登場と進化によって、パスワードを覚える必要がなくなるだけでなく、指紋認証などによる簡単なログイン、デバイス間でのクレデンシャルの同期やバックアップなどの安全かつ便利なログイン機能がパスワードレスの標準的な機能として実装されようとしています。
参考:Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア
それは、これまでそうした安全性や利便性を提供してきたパスワードマネージャの存在意義や付加価値が改めて見直されることにもつながります。LastPassや1Passwordのパスワードレスへの対応は、それに対してそれぞれが別の答えを提示しつつあることを示しているようです。
FIDO/WebAuthnの関連記事
- Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア
- iPhoneのパスワードレス機能はWindowsとも連携するとAppleが発表。Windows上のChromeにiPhoneをかざしてログインも可能に、FIDO標準への対応で
- パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など