認証認可 Advent Calendar 2024
21日目の記事となります。
認証とは
認証は『Who』(誰がアクセスしているのか)を確認する重要なプロセスです。
そして、認証の方法は主に以下の3つの要素に分類されます。
認証の3要素
1. 知識認証(What you know)
パスワードやPINコードを使用して、ユーザーが知っている情報で確認します。
2. 生体認証(What you are)
指紋や顔認証、虹彩認証など、ユーザーの身体的特徴を使って本人確認を行います。
3. 所有物認証(What you have)
スマートフォンやセキュリティトークンなど、ユーザーが所有している物で確認します。
パスワードレス認証
パスワードレス認証は、ユーザーがパスワード(知識認証)を使わずに認証を行う方法です。さらに最近の認証トレンドとしては『パスキー』があります。
パスキー
Webサイトのログイン時に自分のスマホ『所有物認証』の『生体認証』機能を利用する方法(広義のパスキー)が一般的だと思います。
利用するには、事前にサイト(認証サーバ)に対応したパスキー(狭義のパスキー)を作成しておく必要があります。
※広義と狭義の詳細説明は割愛
『パスキー』を利用することで、セキュリティが向上し、利便性も高まります。
セキュリティ
- フィッシング耐性(SMS等のOTP認証では対策不十分)
- パスワード漏洩リスク削減(秘密情報をWebサイトとやり取りしない)
利便性
- ログイン失敗率削減(サイト利用者・運営者双方にメリット)
- ログインフォームの構造を変えずに利用可能(Conditional UI推奨)
さいごに
認証技術はどんどん進化していきます。まずは、『パスキー』を使いこなしながら、次の世代の認証に備えていきましょう。
おまけ宣伝
セキュリティに関係する話を書きましたが、セキュリティに関わるLT会を2025年1月23日に企画しています。
ご興味があれば是非、遊びに来てください。