(oneechanblog) – 10年以上の間、パスワードのない世界が間近に迫っていると約束されてきましたが、毎年、このセキュリティの涅槃は手の届かないものになっています。 現在、初めて、実行可能な形式のパスワードなし認証が、クロスプラットフォームおよびクロスサービスのパスキーを可能にする、Apple、Google、およびMicrosoftによって採用された標準の形式で大衆に利用可能になりつつあります。
過去にプッシュされたパスワード殺害スキームは、多くの問題に悩まされていました。 主な欠点は、誰かが電話番号や物理的なトークン、およびアカウントに関連付けられた電話の制御を失ったときに実行可能な回復メカニズムがないことでした。 もう1つの制限は、ほとんどのソリューションが実際には本当にパスワードなしであることに失敗したことでした。 代わりに、フェイススキャンまたは指紋を使用してログインするオプションをユーザーに提供しましたが、これらのシステムは最終的にパスワードにフォールバックしました。つまり、フィッシング、パスワードの再利用、パスコードの忘れなど、最初からパスワードが嫌いだった理由はすべてありませんでした。離れないでください。
新しいアプローチ
今回の違いは、Apple、Google、Microsoftがすべて同じ明確なソリューションを採用しているように見えることです。 それだけでなく、ソリューションはユーザーにとってこれまでになく簡単になり、GithubやFacebookなどの大規模なサービスを展開するのにかかる費用は少なくなります。 また、認証とセキュリティの専門家によって入念に考案され、ピアレビューされています。
拡大 / パスワードなしの認証がどのようになるかのモックアップ。
現在の多要素認証(MFA)方式は、過去5年間で重要な進歩を遂げました。 たとえば、Googleでは、新しいデバイスからGoogleアカウントにログインするときに2番目の要素として使用するiOSまたはAndroidアプリをダウンロードできます。 CTAP(クライアントからオーセンティケータープロトコルの略)に基づいて、このシステムはBluetoothを使用して、電話が新しいデバイスの近くにあり、新しいデバイスが実際にGoogleに接続されており、Googleを装ったサイトではないことを確認します。 それはそれがフィッシングできないことを意味します。 この規格は、電話に保存されている暗号化シークレットを抽出できないことを保証します。
広告
Googleは、新しいデバイスからのログインを認証するために、スタンドアロンのドングルまたはエンドユーザーの電話の形式の物理キーを必要とする高度な保護プログラムも提供しています。
現在の大きな制限は、MFAとパスワードなしの認証が、サービスプロバイダーごとに異なる方法で展開されることです。 ほとんどの銀行や金融サービスなどの一部のプロバイダーは、SMSまたは電子メールを介してワンタイムパスワードを送信します。 これらはセキュリティに敏感な秘密を転送するための安全な手段ではないことを認識し、多くのサービスはTOTP(時間ベースのワンタイムパスワードの略)と呼ばれる方法に移行し、2番目の要素を追加できるようになりました。 「私が持っているもの」の要素を持つパスワード。
物理的セキュリティキー、TOTP、および程度は少ないがSMSと電子メールによる2要素認証は重要な前進を表していますが、3つの重要な制限が残っています。 まず、オーセンティケーターアプリを介して生成され、テキストまたは電子メールで送信されるTOTPは、通常のパスワードと同じようにフィッシング可能です。 次に、各サービスには独自のクローズドMFAプラットフォームがあります。 つまり、スタンドアロンの物理キーや電話ベースのキーなど、フィッシング不可能な形式のMFAを使用する場合でも、ユーザーはGoogle、Microsoft、およびその他すべてのインターネットプロパティ用に個別のキーを必要とします。 さらに悪いことに、各OSプラットフォームには、MFAを実装するための異なるメカニズムがあります。
これらの問題は3番目の問題に道を譲ります。ほとんどのエンドユーザーにとってまったく使用できないことと、MFAを提供しようとするときに各サービスが直面する重要なコストと複雑さです。
