パスワードの時代は私たちの背後にあるのでしょうか? これが、今週ラスベガスで開催されたInteropショーで最も興味深い基調講演の1つでPayPalの最高セキュリティ責任者Michael Barrettが予測したものです。
バレット氏によると、1961年以来パスワードは広く使用されていますが、クラウドサービスの普及により、パスワードを必要とするサイトが多くなりすぎています。 人々はあまりにも多くのパスワードを持っているため、欲求不満です。 その結果、彼は言った、「パスワードは私たちを失敗させ始めている」。
自分のデバイスに任せると、ユーザーは質の低いパスワードを選択して、どこでも使用します。 つまり、最も重要なアカウントのセキュリティは、そのパスワードを使用する最も安全性の低い場所のセキュリティに低下します。 一方、GPUを含むクラウドで安価な処理能力が利用できるようになったことで、人々はパスワードハッシュを解読しやすくなりました。
パスワードキーリングを備えた2要素システムの代替案は、各サイトに独自の安全なトークンシステムがあるため、「規制当局の夢ですが、ユーザーの悪夢」であると彼は言いました。
その結果、私たちは何か他のものを必要とし、そこがFIDO Allianceの出番です。ユーザーは安全で簡単なものを望んでいます、とバレットは言いました。 どのソリューションもより強力な認証を提供する必要がありますが、使いやすく、しかも人々のプライバシーを尊重する必要があります。
このアライアンスは2年以上実行されており、最初のそのようなソリューションが開始されようとしています。
今日のモデルでは、パスワードはデバイスに入力され、デバイスを介して相手側のサービスに渡されます。 FIDOモデルでは、ユーザーは少数のデバイスで認証し、代わりにデバイスに対して認証します。 その後、デバイス上のFIDOスタックは、サービスに戻って認証する方法を認識します。 接続の情報は、PCのTPMチップまたはスマートフォンの安全なコンテナに保存できます。
デバイスで認証するには、指紋を使用できます。 Barrettは、Appleが今年後半にスマートフォンで指紋リーダーを発表する可能性があり、Androidデバイスがまもなく登場する可能性があることを示唆しました。 デバイスは、「音声バイオメトリクス」(声紋)、目認識、または顔認識も使用できます。 個々のサイトは、受け入れたいこれらの記号の1つ以上を要求できます。
この計画が機能するためには、両方のデバイスがFIDO認証を受け入れる標準とサービスをサポートする必要があります。 バレット氏によると、PayPalはFIDO対応の過程にあるという。 サイトが有効になると、FIDOクライアントがあれば、それが使用されます。 それ以外の場合は無視されます。
パスワードが枯渇していると考えているにもかかわらず、バレットは、実際に大量に採用されるようになるには数年かかることを認めました。 オッズは「これをやめることができるかどうか50/50」だけだ、と彼は言った。
しかし、私たちが読み続けているパスワードハッキングの数と、現在のパスワードに直面している不満を考えると、私たちの多くがより良いものを望んでいることを否定することはできません。
