セキュリティの専門家たちに「パスワードレス」と言うと、苦笑いから否定まで、さまざまな反応が返ってきます。 情報セキュリティのコミュニティは「パスワードレス」という言葉が使われていることを知っています。同時に業界では、このトピックに関し、さまざまな矛盾した立場が存在するのです。
このブログの目的は、パスワードがもたらす課題、「パスワードレス」の意味、パスワードレス認証が成熟するにつれて企業の受ける恩恵を理解するための客観的なアプローチをとることです。 パスワードレスについて話し合うためには、まずパスワードについて話し合う必要があります。
パスワードのパラドックス
パスワードはユーザー認証の最も一般的な形式です。セキュリティが弱く、ユーザーエクスペリエンスが低いため、敬遠されがちです。
パスワードは共通の秘密と定義されます。 秘密はユーザーと検証サービスにより認識され、さまざまなコンピューティングデバイス間で保存されることが多いです。メッセージや付箋の形で共有されることもあります。 その秘密を知るサービス、デバイス、ユーザーは、サイバー攻撃の標的になる可能性があります。
セキュリティを向上させるための最善の方法は、そのパスワードを固有で複雑なものにすることです。 ただし、これらの方法は、最近のフィッシング攻撃に対してますます効果が低くなっており、パスワードを使用するのを難しくしています。 「パスワード忘れ」を回避するために、複数のサービス間でパスワードを同じものに設定したくなります(これもセキュリティリスクを高めます)。
セキュリティと使いやすさはパスワードと相容れないものです。 セキュリティが向上するとユーザーエクスペリエンスが低下します。その逆も然りです。
ということは、パスワードとお別れする時が来たようですね。 それほど速い別れではありません。
パスワードにも、良い面はたくさんあります。 何もかも一緒くたにして捨てるのはやめましょう。 パスワードはセキュリティと使いやすさの点で劣りますが、それでも以下のような理由で広く使われています。
- 移植性 – パスワードまたは共有の秘密は、デバイス、ドキュメント、アカウント、サービス、さらには子どものツリーハウスへのアクセスなど、ほとんどすべてのことに適用できます。 この形式の認証を実装するために多くのインフラや依存関係は必要ないため、非常に簡単に目的にアクセスできます。
- 互換性 – ほとんど例外なく、使用するすべてのアプリとサービスにパスワードがあります。 もちろん、追加で2番目の認証が必要になる場合がありますが、パスワードは基本的で普遍的です。 実際、サービスにパスワードの概念との互換性があるかどうかを考える必要はありません。 パスワードの入力は、毎日行うデフォルトの行動です。
- 相互運用性 – コンピューター、スマートフォン、任天堂、Apple TVのいずれで認証を行う場合でも、パスワードを簡単に入力できます。 パスワードは広く普及しており、パスワードを使用するために最新のモバイルデバイスにアップグレードしたり、クライアントソフトウェアをインストールしたりする必要はありません。 それはただ機能するだけです。
なぜ、これが大切なのでしょうか? パスワード認証を廃止する場合、移植の互換性と相互運用性のニーズを損なうことなく、他の方法でセキュリティと使いやすさの両方,を, 大幅に改善する必要があります。 この概念を理解するために、「パスワードレス」という用語を定義しましょう。
パスワードレス認証とは何でしょうか?
過去数年間で、「パスワードレス」という用語が使われることが多くなりました。今では多くのセキュリティ、認証、IDソリューションプロバイダーによって使用されています。それぞれ、ニュアンスに違いがあります。
明確にするために、より広く定義すると良いでしょう。 Yubicoでは、以下を採用しています:
“パスワードレス認証は、ユーザーがログイン時にパスワードを入力する必要がないあらゆる形式の認証」
簡単に思えるかもしれませんが、ここで少し、考えておくことがあります。 パスワードレス認証にはさまざまな実装方法があり、それらはすべてトレードオフとなっています。
パスワードレスの実装は、ユーザビリティに対応するために特別に設計されていることがあります。
SMS – SMSの検証は、パスワードを覚えておく必要がないため、多くの人にパスワードレスと呼ばれています。 通常、ユーザーが自身を認証するための、短期間有効なOTPコードが送信されます。 (そして、皮肉なことに、「OTP」は「ワンタイムパスワード」の略であり、これは一般的な使用法の共有に過ぎません。)
メールマジックリンク– トークンを使用した固有のリンクがユーザー用に作成され、メールで送られます。 リンクをクリックすると、その特定のサービスのユーザーだと証明されます。
SMSでマジックリンクを配信する方法はいくつかありますが、一般的に、これらの2つの認証フローはパスワードより使い勝手が良くなります。しかし、どちらもフィッシングを受ける危険性が非常に高いです。 ユーザーが騙されてOTPコードを入力したり、マジックリンクをクリックした場合、これらのパスワードレスなソリューションのセキュリティはどちらも強力ではありません。 ブログ「現代のフィッシングが基本的な多要素認証に打ち勝つ方法」をご覧ください。
パスワードレスの実装は、セキュリティに対応するために特別に設計されていることがあります。
スマートカード(PIV/CAC) – スマートカードは、フィッシングから保護するための最も効果的な方法の1つです。 ユーザーはスマートカードをリーダーに挿入し、独自のPINでスマートカードを検証する必要があります。 これは、トラックでのリモートフィッシング攻撃を阻止する確実な方法です。 しかし、従来のスマートカードは、移植性、互換性、相互運用性に乏しいです。 従来のスマートカードを大規模に設置しようとすると、複雑で費用が高くなる可能性があるため、多くの個人や企業にとって使いにくく、アクセスしにくくなっています。
簡単なサイドバーで、パスワードとPINについて考えてみましょう。
パスワードとPIN
使いやすさの観点で言うと、これらは非常に似ているように見えるかもしれません。 しかし、セキュリティの観点で、これらは大きく異なります。 パスワードはサーバーを介して送信、検証されます。つまり、パスワードが傍受されたり、盗まれたりする可能性があります。 PINはデバイスに対してローカルです。 例えば、ATMでデビットカードを使用する場合、PINはデビットカードのロックを解除するだけです。 他の場所に送信されたり、保存されることはありません。 そのため、デビットカードを盗まれて新しいカードを発行した場合は、新しいPINを決める必要があります。
このように区別することが重要な理由はいくつかあります。
- PINはパスワードよりもはるかに安全です。
- ただ、パスワードレス認証の最も強力な形式にはPINが必要なため、覚えておくべきことはあります。
- ほとんどの生体認証システムは、顔または指紋でPINを「解除」し、操作を行います。生体認証が利用できない場合(iPhoneを再起動したり、マスクを着用してロック解除しようとした場合など)は、PINがデフォルトになります。 つまり、生体認証システムは実際にはPINを置き換えるわけではありません。
Microsoftも、「PINがパスワードよりも優れている理由」について、多くの有用な情報を提供しています。
オープンスタンダードとIDプラットフォームの役割
パスワードレスのケーキが欲しいですか? それは、オープンスタンダードがパーティにもたらすものです。
セキュリティと使いやすさを実現するために構築された、オープンスタンダードの豊富なエコシステムは、広く利用されるための移植性、互換性、相互運用性のニーズも満たしています。 Yubicoは創業以来、これらの目標を達成するためのオープンなセキュリティ基準を提唱してきました。 Yubicoは、WebAuthnとFIDOのオープン基準を開拓し、Google、Microsoft、Appleなどの大手テクノロジー企業と協力して、これらの基準をオペレーティングシステムと私たちが毎日使用するブラウザに統合することで実現しました。 これらの基準をYubiKeyと組み合わせることで、独自のソフトウェアを追加せずに、デバイス、アプリ、サービス全体で強力な認証が可能になります。 利用者が意識しなくても機能します。
IDおよびアクセス管理(IAM)ソリューション(Azure Active Directory、Okta、Duo、Pingなど)も、大手プラットフォームで階層化することでオープン基準を採用し、企業のビジネスに必須のアプリケーションとサービスに強力なパスワードレス認証を採用するために必要な機能と規模を提供しています。
すでにIAMプラットフォームに投資している場合は、それが提供するパスワードレスのオプションをご確認ください。 ほとんどの場合、モバイル認証アプリを使用して、さまざまなレガシーシステムのユーザーエクスペリエンスの一部を強化し、WebAuthn/FIDO以外の代替のパスワードレスエクスペリエンスを提供しています。 モバイル認証はパスワードよりも強力ですが、モバイル認証アプリはフィッシング可能です。そのため、すべての主要なIAMプラットフォームは、YubiKeyなどのハードウェアセキュリティキーを標準でサポートしています。
パスワードレスへの架け橋
パスワードレスへの道は旅です。一夜にして移行できません。 そして、Yubicoはあなたと一緒にこの旅をしています。
この束の間の期間は、YubiKeyが設計された目的であり、現在の場所であなたと出会い、セキュリティインフラを進化させることができます。 YubiKeyは、カードリーダーのようなクライアントソフトウェアや周辺機器は必要ありません。 そして、最も幅広いセキュリティプロトコルをサポートするようにYubiKeyを設計しました。 パスワードに加え、フィッシング対策されたYubiKeyを2番目の要素にすることで、アカウントの乗っ取りを終わらせることができます。 また、同じYubiKeyを、IAMパートナーのパスワードレス環境でスマートカードまたはFIDO2セキュリティキーとして展開できます。 YubiKeyは実に、パスワードレスへの架け橋です。
オープンスタンダードのエコシステムとIAMパートナーと共に、Yubicoは、妥協することなく、あらゆる規模のセキュリティと使いやすさを提供します。