よくある質問
パスワードレス・アライアンスは、国際技術標準化機関であるITUの元イ・ジェソプ局長と、ITU-T X.1280標準技術を開発したデュアルオスのウ・ジョンヒョン代表がスイス・ジュネーブに設立した非営利団体です。パスワードに関する社会問題を解決するため、オンラインサービス利用者、オンラインサービス運営者、政府機関、関連協会、ソフトウェア開発者などが共にメンバーとして参加しています。
Passwordless Allianceは実践的な団体となるため、B2Cオンラインサービスを対象とした無料ソフトウェアを普及しています。従来の他の標準協会やアライアンスが技術供給者中心に技術標準を作り、互換性を確保することに集中していたのに対し、パスワードレス・アライアンスは、完成済みの国際標準技術を基盤に開発されたPasswordless X1280ソフトウェアを、技術受容者であるオンラインサービスが直接使用できるように無料で提供しています。また、ソフトウェア提供以外にも、パスワードレスX1280モバイルアプリで発生するオンライン広告収益まで、パスワードレスを導入するオンラインサービス提供会社と分け合い、迅速にパスワードレスを普及させています。
Passwordless X1280はB2Cオンラインサービスで無料で利用できるソフトウェアです。Passwordless Allianceは全世界のB2CオンラインサービスにPasswordless X1280ソフトウェアを無料で提供しています。
ユーザーが利用するPasswordless X1280モバイルアプリにはGoogleディスプレイ広告が搭載されています。ユーザーの活用に基づく広告収益を基盤に、パスワードレスソフトウェアを提供することを目指しています。
Passwordless X1280はB2Cオンラインサービスで利用できる無料ソフトウェアです。Passwordless Allianceは、世界中のオンラインサービスの最終利用者(消費者)を保護することを目的としています。B2Cオンラインサービスにパスワードレス技術を普及させ、サービス利用者(消費者)の個人情報および金融情報などを保護したいと考えています。
Passwordless Allianceは、企業や機関向けのサイバーセキュリティソフトウェアを供給するものではありません。オンラインサービスが内部の従業員を対象に運営されている場合は、サイバーセキュリティソフトウェアの供給会社に連絡し、導入してください。(注意:オンラインサービスの利用者が当該サービス運営機関の従業員、コンサルタント、代理人、協力会社の従業員である場合は、Passwordless X1280を使用してはなりません。)
ユーザーパスワードは、ユーザーが正当な利用者であることをオンラインサービスに証明する認証技術であり、多くのオンラインサービスで最も広く使用されています。 しかしユーザーパスワード方式では、ユーザーが接続したオンラインサービスが本物か偽物かを確認せずにパスワードを入力したり、入力過程でハッカーに盗まれる可能性があります。また、ユーザーが記憶力の限界からオンラインサービスごとに同じパスワードを使用するため、複数のオンラインサービスのうち一箇所だけが侵害されても、残りのオンラインサービスのパスワードを変更しなければならない負担が生じます。
しかしパスワードレスX1280方式では、パスワードに関する立証責任をオンラインサービスが負うため、ユーザーはパスワードを記憶・入力・変更する責任を負わなくて済みます。仮に当該オンラインサービスが侵害されユーザーパスワードが流出した場合でも、そのパスワードはパスワードレス方式でログインするたびに無作為に変更されるため、ユーザーの他のオンラインサービスに影響を与えません。
Passwordless X1280は、オンラインサービスがユーザーに自動生成パスワードを提示し、ユーザーがスマートフォンでこれを確認するため、ユーザーはサービス提供者が本物か偽物かを確認できます。これにより、ユーザーのみを認証する従来の認証方式よりも2倍以上安全です。また、ユーザーが面倒にパスワードを記憶・変更・入力する必要がなく、オンラインサービスが提示した自動生成パスワードをモバイルアプリで承認するため、使い勝手が良いです。
Passwordless X1280は、オンラインサービスのユーザーパスワード機能を廃止したわけではなく、パスワードレス設定後に複雑な文字列でユーザーパスワードを自動変更したため、内部的には依然としてユーザーパスワードが存在します。
ただし、特定のオンラインサービスのユーザーアカウントにPasswordless X1280を登録すると、
そのアカウントのパスワードは複雑なランダムパスワードに自動変更され、Passwordless X1280でログインするたびにユーザーパスワードは毎回自動変更されます。
したがって、ユーザーはもはやユーザーパスワードを変更したり覚えたりする必要がなく、オンラインサービスが提示する自動パスワードをスマートフォンで確認するだけで済みます。
Passwordless X1280はオンラインサービスのユーザーパスワード機能を廃止したわけではなく、パスワードレス設定後に複雑な文字列でユーザーパスワードを自動変更したため、内部的には依然としてユーザーパスワードが存在します。
したがって、 一時的に携帯電話を紛失した場合、ログイン画面のユーザーパスワード検索メニューから一時的なログインが可能です。 ただし、ユーザーパスワード検索を通じて一時的にログインした場合でも、その後 Passwordless X1280アプリでオンラインサービスにログインすると、ユーザーパスワードは複雑なパスワードに自動的に変更されます。
もし一時的に携帯電話を紛失したのではなく、携帯電話を交換する場合であれば、パスワード検索を通じてログインした後、オンラインサービスメニュー内のパスワードレス設定メニューに入り、パスワードレスをまず解除した後、新しいスマートフォンで再登録手続きを行う必要があります。
従来のOTPはセキュリティ性に優れたユーザー認証技術ですが、ユーザーが接続したオンラインサービスが本物か偽物か確認できないままOTPコードを入力すると、盗まれる可能性がある脆弱性を持っています。しかしPasswordless X1280は、オンラインサービスがユーザーに自動パスワードを提示し、ユーザーがスマートフォンで確認するため、サービス提供者が本物か偽物かを確認できます。したがって、ユーザーのみを認証する従来のOTP技術よりも2倍以上安全です。また、ユーザーが面倒なOTPコードを読み取って手入力する必要がなく、オンラインサービスが提示する自動パスワードをモバイルアプリで承認するため、使い勝手が良いです。
生体認証技術はパスワードをなくす優れた技術ですが、生体認証技術は帯域内認証技術であり、生体認証センサーが搭載されたデバイス内でのみ有効な認証技術です。したがって、スマートフォンに搭載された生体認証センサーはスマートフォンの認証手段としては使用できますが、生体認証センサーのないPCやスマートTV、AIスピーカー、ATMなどの他のユーザーデバイスでは使用できません。 もしユーザーデバイスごとに生体認証を行いたい場合は、デバイスごとに別途の生体認証センサーを取り付ける必要があります。
しかし、PasswordlessX1280は帯域外通信チャネルで、ユーザーがオンラインサービスを認証した後、ユーザーの生体認証値を伝達するため、スマートフォンにある生体認証センサーが生体認証センサーが取り付けられていないデバイスでも拡張して使用されるセキュリティ性と利便性を持っています。何よりも、どのオンラインサービスに自身の生体認証情報を提出するか事前に確認した上で提出できるため、生体認証センサーの導入コストを削減できます。
PasswordlessX1280とモバイルプッシュベース認証技術は動作方式が似ているように見えますが、根本的な違いがあります。プッシュベース認証技術は、ユーザーがプッシュ受信可能なユーザー認証器を所持しているかを確認する技術です。つまりユーザーのみを認証する技術です。 しかし、ユーザーが最初に接続したサービスが偽のサービスである状態でプッシュ認証器にプッシュメッセージが受信される場合、ユーザーのプッシュ認証は盗用される可能性があります。つまり、ユーザーが本物か偽物かを区別できないサービスに接続した後、プッシュメッセージを受信すると、プッシュメッセージがどこから発信されたものか確認せずに承認してしまう可能性があります。この場合、ユーザーは自身の接続を承認したのではなく、攻撃者の接続を
これに対しPasswordless X1280は、オンラインサービスがユーザーに自動パスワードを送信し、ユーザーがPasswordless X1280アプリで生成した自動パスワードと比較して一致した場合に、オンラインサービスが正当なサービスであることを承認する技術が追加されているため、プッシュ認証がどこから開始されたかを目で確認できます。したがってプッシュメッセージを利用するのは同じですが、プッシュベースのユーザー認証技術がユーザー認証のみを行うのに対し、Passwordless X1280はオンラインサービス提供者とユーザーを同時に認証します。