米Googleが同社アカウントへの"パスワードを使わない"新しいログイン方式のテストを開始している。特定の携帯電話をアカウントに結びつけると、ログイン時にパスワードの代わりに携帯電話側に通知メッセージが表示され、そこでログイン操作を行うことでログインが完了する。現在はまだ一部ユーザーへのテスト提供にとどまっているが、2段階認証の新しい形として注目を集めそうだ。

同件はThe Vergeなどが報じている。実際に同テストプログラムの招待を受けたユーザーがRedditに報告した情報によれば、例えばPCのWebブラウザ上でGoogleアカウントにログインする場合、通常はGoogleアカウント名(Gmailアドレス)とパスワードの入力を行い、もし2段階認証が設定されている場合にはその後に携帯電話に通知されたPINを入力することでログインが完了する。

だが新しい方式では、Googleアカウント名を入力した段階で当該テストの参加者であることを確認し、画面に「スマートフォン上の通知を確認してログイン動作を行う」よう指示が出る。アカウントと結びつけられた携帯の画面にはGoogleアカウントへのログインを行おうとしているかを確認する通知メッセージが表示され、ここでPCのWeb画面で指示されたボタンを"タップ"するだけでPCでのGoogleアカウントへのログインが完了するという仕組みだ。

もともとGoogleは不正アクセスが多発したことを受け、Webサービスでは比較的早い時期から2段階認証や2要素認証の導入に取り組んでいる。従来方式では、アカウントに結びつけられた携帯電話にSMSまたは通話の形で6桁の数字がログイン動作時に通知され、これをログインしようとしているPCまたはスマートフォン上で入力することでログインが完了する仕組み。また、一度ログイン動作が完了すれば、以後は同じデバイスでの再確認を行わないようにするオプションも用意されている。あくまで、オンライン経由で不正アクセスを試みようとする相手を排除するのが目的で、実際にアカウントを持つユーザーをログインしようとしているのとは別のデバイスと結びつけることで、安全性を確保しようというのが狙いだ。詳細についてはRedditでの説明と、アップロードされた説明画像を参照してみてほしい。

現在Webサービスアクセスの2段階認証の世界ではFIDO (Fast IDentity Online)の取り組みが進んでおり、実際に最初の事例としてNTTドコモが自社のスマートフォンでの対応をうたっている。公開鍵暗号技術(PKI)を使ってデバイスごとに異なるアクセスキーを発行することでパスワードを使わないログイン動作の単純化とセキュリティを高めようという仕組みだ。GoogleもFIDO参加企業だが、一方で認証用のデバイスを別途用意して単純なWebアクセスのセキュリティを高める方式の利用をユーザーに促しており、今回はこれの発展型にあたる。もし実際に試す機会があったらトライしてみてほしい。