(oneechanblog) – アップル、 グーグル と マイクロソフト 今週発表された彼らは、パスワードを完全に回避する認証へのアプローチをまもなくサポートし、代わりにユーザーがウェブサイトやオンラインサービスにサインインするためにスマートフォンのロックを解除するだけで済みます。 専門家によると、この変更は多くの種類のフィッシング攻撃を打ち負かし、インターネットユーザーの全体的なパスワード負担を軽減するのに役立つはずですが、ほとんどのWebサイトでは、真のパスワードなしの未来はまだ数年先になる可能性があることに注意してください。
テクノロジーの巨人は、パスワードを置き換えるための業界主導の取り組みの一部です。パスワードは、簡単に忘れられたり、マルウェアやフィッシングスキームによって頻繁に盗まれたり、企業のデータ侵害の結果としてオンラインで漏洩して販売されたりします。
Apple、Google、Microsoftは、何百もの技術者と協力してきたグループであるFIDO(“ Fast Identity Online”)AllianceとWorld Wide Web Consortium(W3C)によって作成されたパスワードなしのサインイン標準へのより積極的な貢献者です。過去10年間の企業は、複数のブラウザやオペレーティングシステムで同じように機能する新しいログイン標準を開発しました。
FIDO Allianceによると、ユーザーは、デバイスのPIN、指紋や顔のスキャンなどの生体認証など、デバイスのロックを解除するために1日に複数回実行するのと同じアクションでWebサイトにサインインできます。
「この新しいアプローチはフィッシングから保護し、ログインはパスワードやSMS経由で送信されるワンタイムパスコードなどのレガシーマルチファクターテクノロジーと比較して根本的に安全になります」と同盟は5月5日に書いています。
サンパススリニバス、Googleのセキュリティ認証ディレクターでFIDO Allianceの社長は、新しいシステムでは、オンラインアカウントのロックを解除するために使用される「パスキー」と呼ばれるFIDOクレデンシャルが携帯電話に保存されると述べました。
「パスキーは公開鍵暗号に基づいており、電話のロックを解除したときにのみオンラインアカウントに表示されるため、サインインがはるかに安全になります」とSrinivas氏は書いています。 「コンピューターでWebサイトにサインインするには、近くに電話が必要です。アクセスするには、ロックを解除するように求められます。 これを行うと、スマートフォンは不要になり、コンピューターのロックを解除するだけでサインインできます。」
として ZDNet 注、Apple、Google、Microsoftはすでにこれらのパスワードなしの標準(「Googleでサインイン」など)をサポートしていますが、ユーザーはパスワードなしの機能を使用するためにすべてのWebサイトでサインインする必要があります。 この新しいシステムでは、ユーザーは多くのデバイスでパスキーに自動的にアクセスでき(すべてのアカウントを再登録する必要はありません)、モバイルデバイスを使用して近くのデバイスでアプリやWebサイトにサインインできます。
ヨハンズ・ウルリッヒ、SANS Technology Instituteの研究部長は、この発表を「認証の課題を解決するための最も有望な取り組み」と呼びました。
「この規格の最も重要な部分は、ユーザーが新しいデバイスを購入する必要がないことです。代わりに、ユーザーはすでに所有しているデバイスを使用し、オーセンティケーターとしての使用方法を知っている可能性があります」とUllrich氏は述べています。
スティーブ・ベロビンコロンビア大学のコンピューターサイエンス教授であり、初期のインターネット研究者でありパイオニアでもある、は、パスワードなしの取り組みを認証の「大幅な進歩」と呼びましたが、多くのWebサイトが追いつくには非常に長い時間がかかると述べました。
Bellovinらは、この新しいパスワードなしの認証スキームで潜在的にトリッキーなシナリオの1つは、誰かがモバイルデバイスを紛失したり、電話が壊れてiCloudパスワードを思い出せなくなったりした場合に起こることだと言います。
「余分なデバイスを買う余裕がない人や、壊れたデバイスや盗まれたデバイスを簡単に交換できない人のことを心配しています」とBellovin氏は述べています。 「クラウドアカウントのパスワード回復を忘れてしまったのではないかと心配しています。」
Googleによれば、スマートフォンを紛失した場合でも、「パスキーはクラウドバックアップから新しいスマートフォンに安全に同期されるため、古いデバイスが中断したところからすぐに再開できます。」
AppleとMicrosoftも同様に、これらのプラットフォームを使用している顧客が紛失したモバイルデバイスから回復するために使用できるクラウドバックアップソリューションを持っています。 しかし、Bellovin氏は、そのようなクラウドシステムがどれだけ安全に管理されているかに大きく依存していると述べました。
「許可なしに別のデバイスの公開鍵をアカウントに追加するのは簡単ですか?」 ベロビンは疑問に思いました。 「彼らのプロトコルはそれを不可能にしていると思いますが、他の人は同意しません。」
ニコラスウィーバー、コンピュータサイエンス学部の講師 カリフォルニア大学バークレー校、「携帯電話とパスワードを紛失した」シナリオでは、ウェブサイトに回復メカニズムが必要であると述べ、「安全に行うのは非常に難しい問題であり、現在のシステムの最大の弱点の1つです」と述べています。
「パスワードを忘れて携帯電話を紛失し、回復できる場合、これは攻撃者にとって大きな標的になります」とウィーバー氏は電子メールで述べています。 「パスワードを忘れて携帯電話を紛失してできなくなった場合は、ログインに使用する認証トークンを紛失しました。後者である必要があります。 Appleはそれをサポートするインフラストラクチャ(iCloudキーチェーン)を備えていますが、Googleがそれをサポートしているかどうかは不明です。」
それでも、全体的なFIDOアプローチは、セキュリティと使いやすさの両方を向上させるための優れたツールであると彼は言いました。
「それは本当に、本当に良い前進です、そして私はこれを見てうれしく思います」とウィーバーは言いました。 「電話の所有者に対する電話の強力な認証(適切なパスコードを持っている場合)を利用することは非常に素晴らしいことです。 そして、少なくともiPhoneの場合、これを処理するのは安全なエンクレーブであり、安全なエンクレーブはホストオペレーティングシステムを信頼しないため、電話の侵害に対してもこれを堅牢にすることができます。」
技術の巨人は、新しいパスワードレス機能が「来年中に」Apple、Google、Microsoftのプラットフォーム全体で有効になると述べた。 しかし専門家は、小規模なWebサイトがこのテクノロジーを採用し、パスワードを完全に廃止するには、さらに数年かかる可能性があると述べています。
最近の調査によると、パスワードを再利用またはリサイクルする(同じパスワードをわずかに変更する)人が多すぎるため、これらの資格情報が最終的にデータ侵害にさらされると、アカウントの乗っ取りのリスクが生じます。 サイバーセキュリティ会社からの3月のレポート SpyCloud ユーザーの64%が複数のアカウントのパスワードを再利用しており、以前の違反で侵害された資格情報の70%がまだ使用されていることがわかりました。
FIDOアプローチに関する2022年3月のホワイトペーパーは、こちら(PDF)で入手できます。 それに関するFAQはここにあります。
