パスワードの使い回しをやめる最も効果的な方法は「パスワードを使わない」ことだ。そんな夢のような認証を目指しているのがFIDO(Fast IDentity Online)だ。
FIDOでは、利用者とサービスとの間に「認証器」を置く。認証器はスマートフォンなどに搭載し、生体認証やUSBキーなどを使って、端末を操作している人が正当な利用者であることを認証する。
認証器とWebサービス(アクセス先のサーバー)は、コードと呼ばれる情報でお互いを認証する。
認証が必要なときは、Webサービスからランダムなコードを送り、認証器は秘密鍵を使ってコードの署名を作成し付加して送り返す。Webサービスが公開鍵で署名を検証し、相手の認証器が正当なものかどうか判断する。
インターネットを経由する認証器とWebサービスのやりとりには、生体認証などに使用したユーザーの情報は一切使わない。
このように、認証器を挟む形でバケツリレーのように2つの認証をつなぐことで、パスワードを使わないユーザー認証を実現する。