Google、パスワード不要の「スマホでログイン」を限定テスト中

写真拡大

Google が一部のユーザーを対象に、パスワードの代わりにスマートフォンを使う認証システムのテストをしていることが分かりました。

PCなどの機器でGoogleサービスへサインインする場合、スマートフォンに通知が届き、タップするとパスワード入力なしでログインできる仕組みです。

Google は新機能を導入する前に、少数のユーザーを対象にテストを実施することで知られています。今回の新ログイン方式は、テストに選ばれたという Rohit Paul 氏がスクリーンショットを公開して詳細が明らかになりました。

Rohit Paul氏の説明によれば、スマートフォンでログインは非常にシンプルな仕組み。まずアカウント設定からオプションで有効にしたのち、PCなどのログインスクリーンでGoogleアカウントのメールアドレスを入力します。

するとPCの画面には、認証用のトークン数字(スクリーンショットの例では「21」)が表示され、スマートフォンにはサインイン用の通知が届きます。スマートフォン側では通知をタップして開いて、PC側と同じ数字を選択すればサインイン完了です。

PC画面に表示された数字をスマートフォンに手入力するのでは手間があまり変わらないようにも思えますが、重要なのはPCにパスワードが入力されないこと。マルウェアやハードウェアキーロガーや監視カメラや人の目があっても、一度もパスワードが出てこないため横取りしようがありません。

画面に表示されるチャレンジも2桁の数字で覚えやすく、スマートフォン側ではキーボード入力ではなく3つの候補からひとつをタップするだけと省力化が図られています。(報告者によると、このチャンレンジ&レスポンスは表示されることもされないこともあった、とのこと。信頼できる環境かどうかを見ているのかもしれません)。

スマートフォンを使ったいわゆる2要素認証のひとつではありますが、音や2次元コードやNFCやBluetooth等々は使わず、通知を開いてYesを押す(場合により三択の数字をタップする)だけと非常にシンプルです。スマートフォンに通知が届かない状況やバッテリー切れなどのために、かわりにパスワードを使うオプションも当然用意されています。

まず通知を開くためにスマートフォンをアンロックする必要があるため、PCのパスワードのかわりにスマートフォンのロックを使った仕組みともいえます。スマホ側のアンロックに長いパスコードを入力するのでは余計に面倒になるため、指紋や虹彩スキャナなど楽で精度の高い認証装置を備えたスマホに向いた方式です。スマートフォン側を守っていない人は、当然ながら有効にすべきではありません。

Google はこの新方式について発表していないため、誰でも使えるようになるのか、なるとして時期などは不明です。