パスワードを使わない

パスワードに依存しない新たな認証の仕組み「FIDO」を推進、米Nok Nok Labsが東京に拠点を開設 (INTERNET Watch)

認証や暗号化の手順を標準化してくれて、
生体認証だけでなくICチップでの非接触媒体なども使った
強固かつ覚える必要のない認証が使えるようになるなら、
Webサービス側も対応しやすくてちょっとは期待できるのかな。

ノートPCやスマホなどでは指紋認証デバイスのついたものもあるけど、
それをWebサービスに使うのはせいぜいパスワードの自動入力ぐらい。
ユーザ側とサービス側でパスワードを持ってるのは変わらず、
どちらかで流出すればダメなことは自分で入力するのと同じリスク。

Webサービス側が手動入力的なパスワード文字列を保持せず、
あくまで生体認証使えない時の緊急手段として
ワンタイムパスワードを発行するぐらいのが強固でいいけど、
ユーザが使ってるデバイスもいろいろで完全に排除するのは無理だな。
両方一緒に運用してる限りは、メリットが薄れちゃうのが問題。

0 comments:

コメントを投稿