パスワードレス認証(Passwordless authentication)は利用者がパスワードなど知識ベースの情報を入力することなく、サービスなどにログインできる認証方式である。利用者は自身を識別する情報(電話番号、電子メールアドレスなど)を入力し、登録されたデバイスやトークンによって本人承認を行なう。
パスワードや秘密の質問への回答などによる知識ベースの認証では、パスワードなどの知識情報が漏えいした場合に不正侵入・なりすましや、利用者が安易なパスワードを設定していたため第三者にアカウントを乗っ取られるというリスクがある。それらのリスクを減らすためにパスワードレス認証の利用が近年進んでいる。
パスワードレス認証は、公開鍵暗号方式が利用され、公開鍵は認証サービスへの登録時に提供され、秘密鍵はユーザのデバイスに保存される。秘密鍵は認証の3要素である「知識」「所有」「生体」のうち「知識」ベースでない「所有」「生体」による認証でアクセスが可能となる。
「所有」の場合、キャッシュカード、スマートフォン、ワンタイムパスワードのトークンなど、その人だけが持っている所有物で認証を行う。「生体」の場合、指紋・静脈・虹彩などの生体認証のほか、クレジットカードのサイン等も該当し、その人の固有の身体的特徴であると証明できる要素で認証を行う。
近年は生体情報をサーバに保存せずクライアント側の生体認証装置に保存することで生体認証を実現するFIDO(Fast Identity Online)を用いたパスワードレス認証も普及しつつある。
