ユーザビリティー実験からわかったパスワードレス認証の課題

こんにちは。Yahoo! JAPAN研究所の大神 渉です。
パスワードの代わりとなる安心安全な認証技術や体験を提供するための研究に取り組んでいます。

はじめに

ヤフーでは、2018年に世界で初めてAndroidスマホからパスワードレス認証の提供を開始しました。また、現在ではiOSを含めより多くのユーザーの方に利用いただけます。

みなさんの中には、ヤフーのログインでスマートフォンの指紋や顔認証を使っているひとがいるかもしれません。Googleの発表でも多くのユーザーがスクリーンロックに指紋を利用していることが発表されています。

例えば、パスワード認証ではユーザーが入力したパスワードをブラウザ上で「○○○○○」などの記号で隠すより表示したほうが入力ミスが少ないことがわかっていますが、生体認証を使う際にどういった課題があるのかは明らかになっていません。私たちはパスワードレス（パスワードを使わない）認証をより多くの人に使ってもらうことを目的として、これらに関するユーザビリティー調査を行いました。本記事では、指紋認証の使いやすさにはどのような問題があるか、ユーザーがどういった点に課題を感じるのか、調査結果を紹介します。

※本記事の内容はプライバシーやセキュリティに関する国際会議であるSOUPS2020ポスターセッションにて発表した内容をベースに、わかりやすく紹介します。実験は2019年に行いました。実験結果は発表当時のもので、現在のヤフーのログインの仕様と一部表現や表示などが異なる可能性があります。

ヤフーのパスワードレス認証とFIDO認証

ヤフーのパスワードレス認証には、電話番号を登録してもらいSMS(Short Message Service)を使ったものと、ユーザーの画面ロックに使う生体認証などを活用したFIDO認証と呼ぶ2つの方法があります。FIDO認証とは、ユーザーが所持するデバイスを使ってさまざまな方法で本人であるか確認を行い、サーバーには認証に成功したという情報を送信することで、生体情報などの認証に使うための秘密情報はサーバーに渡さない安全な仕組みです。この仕組みは、主要なブラウザーではWebAuthn（Web Authentication）と呼ばれるAPIによって実現されています。これにより、多くのユーザーが普段使っているスマホやパソコンを使ってFIDO認証をより手軽に利用できるようになったのです。

FIDO認証を使う際には、ユーザーは認証器（Authenticator）を「登録」して、登録済みの認証器で「認証」（つまりログイン）を行うことができます。認証器とは、利用者のデバイス上で本人性を検証する機能のことで、例えばスマートフォンについている顔認証機能やそれに付随する機能のことを指します。

FIDO認証についての詳細や取り組みについては、パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動も参照してください。

ユーザビリティー調査にてWebAuthnの課題を分析

WebAuthnの生体認証のセキュリティ上の問題が発見されたり、その普及がすすむことは、技術の進歩によって解決する可能性があるかもしれませんが、ユーザビリティー上のさまざまな課題はかならずしもそうではありません。

そこで、WebAuthnを実装しているヤフーを利用しているユーザーの方を対象に、WebAuthn対応のAndroidスマートフォンを用いたパスワードレス認証についてユーザビリティー調査を実施しました。本研究では、2019年の実験当時に多く利用されていたWebAuthnの生体認証の方法として、特に指紋認証に着目し、インタビューやアンケートを通じて参加者の行動やコメントについてさまざまな視点からの分析を行いました。

参加者

以下の条件に合うユーザーの方々を募集し、実験に参加いただきました。

• 参加者はAndroidユーザー
• ヤフーのWebAuthn登録を行ったことがない人、あるいは何らかの理由で登録を行ったが設定に失敗した人

2019年当時、ヤフーではAndroidでのみWebAuthnでのパスワードレス認証を提供していたので、この条件で募集しました。参加者の属性は以下の通りです。

実験方法

実験は、参加者1人あたり約1時間を設定し、各参加者に対するインタビューとアンケートによって構成されます。

まず、実験を始める前に、以下の2点について各参加者の協力を得て確認しました。

• 参加者はYahoo! JAPAN IDでWebAuthn以外の認証でログインできる
• 参加者のスマホに指紋認証が登録済みで、問題なく画面ロック解除できる

次にモデレーターが実験の流れを説明しつつ、参加者は自身のスマホに自分のYahoo! JAPAN IDを使ってWebAuthnの登録・認証をします。この間、モデレーターは参加者の様子を観察し、WebAuthn登録の過程でどのような問題に出会うか観察しました。

参加者はヤフーのサービスを使って、登録と認証を行いました。

※生体認証・画面ロック認証でかんたんログイン（Android）より引用

わかったこと: WebAuthnのダイアログ表示はわかりにくい場合がある

今回の実験で、「登録時、ブラウザーが表示している指紋認証のダイアログがユーザーにとってわかりにくい場合がある」ことがわかりました。この結論に至る実験結果について説明します。

まず、客観的な指標として今回の実験では以下の指標を参加者が達成できるかどうかを観察しました。

1. 指紋認証を使った画面ロックをする
2. 認証器（※）の登録を完了する
3. 登録した認証器を利用したログインをする

※本実験ではAndroidのスマホに搭載されている指紋認証器を指します。

それぞれ、1） はすでに述べたとおり実験の前提として参加者全員が事前に画面ロックができることを確認しました。2） については3人しか登録を完了できませんでしたが、3） については1人以外のすべての参加者が問題なくログインすることができました。WebAuthnを利用する際には大きく登録と認証のプロセスがありますが、特に登録について問題が発生していることがわかります。

そこで、2） の参加者の登録時のプロセスについてそのコメントや振る舞いについて調べました。特に、指紋認証を行う際のWebAuthnのダイアログは参加者にとってわかりにくいガイドとなっていることがわかりました。

登録に失敗した7人の参加者は、図の中心に示したダイアログが表示された際、参加者のスマホについた指紋センサーではなく、指紋を模したディスプレイ上のアイコンに指をあてて登録しようとしていました。

このとき、参加者はモデレーターとの会話で以下のようなコメントをしています。

• 「『センサーをタップします』と書いてあるところに指紋のマークがあるからそこに合わせるのかと思った。」（20代、男性）
• 「せめて『センサーをタップします』のところを「お使いの端末の指紋解除の部分を」などと書いたほうがわかりやすい。」（40代、女性）

彼らは全員が指紋センサーを認識・認証の手順を理解しており 1）、また、その後モデレーターからの確認に対して「ダイアログの文章を読んでいた」と回答したにもかかわらず、ダイアログに表示されているアイコンをタップしました。また、失敗した参加者の多くはアイコンのタップ後も指紋認証に失敗したことがわからず、そこで登録を諦めていたことがわかりました。

このように多くの参加者がつまずいていた登録でしたが、その後ログアウトしてもらったあとに再度ログインする際にはほぼすべての参加者が問題なくログインできました。

ここから、WebAuthnを使った認証においては表示されているダイアログによってユーザーが問題を感じ、登録が完了できずに利用できないユーザーが存在する可能性があることがわかりました。

考察・ユーザビリティー向上へのヒント

ヤフーで生体認証を使ったログイン方法を未登録もしくは一度失敗したユーザーに参加してもらい、パスワードレス認証のユーザビリティーについてどのような問題があるか調査しました。ヤフーのログインで生体認証などを便利に利用しているユーザーが多い中で、登録に失敗するユーザーがどの点に問題を感じるのかがわかりました。

図で示したWebAuthnのダイアログはヤフーを始めとしたサービス提供者が工夫して変更できるものではなく、ブラウザーが統一して提供しているため、多くのサービス提供者が同じ問題を抱えている可能性があります。

また、本実験ではどのように変更したらこの問題を解決できるか調査することは目的ではないため、実験やコメントを得ることはできませんでした。しかし、他のブラウザーやOSの表示などにヒントを求めることができるかもしれません。

例えばiOSではアプリのインストール承認のために、物理的な電源ボタンをユーザーに押させることを求めていますが、承認が必要な際には画面に「ここをタップ」というガイドがボタンの位置や画面の向きに合わせて表示されます。このように、デバイスに合わせて柔軟で具体的なガイドを行うことで今回のような問題を解決できる可能性はあります。

おわりに

本実験は指紋認証を行うことを前提にしていましたが、顔認証や他のOSでは別のことが問題になるかもしれません。

このように表示やユーザーの心理への理解を深めて1つずつ課題を解決していくことで、WebAuthnの利用が進み、ユーザーにより安心で安全な認証方法が提供できるよう、これからもさまざまなデバイスでユーザーの方に利用いただき、研究を進めていこうと考えています。