目次:
ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (10月 2024)
2012年、 Wired のMatt Honanは、デジタルライフ全体を文字、数字、記号の文字列に結び付けることの悲惨な結果について書きました。 Honanは、ハッカーがパスワードを発見した後にオンラインアカウントがハイジャックされた無数の人々の1人です。 被害者のリストには、Mark Zuckerbergを含む著名な技術幹部も含まれています。
それでも、パスワードはオンラインアカウントを保護する主な方法です。
認証の分野には少なからぬ革新がありました。 2016年、私はパスワードに安全で使いやすい代替手段を提供する認証技術について書きましたが、最近まで、どれも大量採用を達成していませんでした。
しかし、今では、オンラインアプリケーションでのパスワードなしの認証方法の実装を容易にし、奨励する一連の規制とオープンスタンダードのおかげで、長く複雑なパスワードを最終的に捨てることができることを期待しています。
パスワードレス認証を妨げるものは何ですか?
「私たちの日常生活に必要な膨大な数のパスワードが負担になっているため、非常に多くの再利用された、または弱い静的な資格情報が表示されます」 。 「最高レベルのセキュリティを追加しながらログインプロセスを簡素化する方法でこの問題に対処する方法を検討する必要がありました。これまで、これらの両方を成功させる方法はありませんでした。」
パスワードの脆弱性は、パスワードを引き続き使用する組織で失われません。 しかし、代替案を検討する前に、技術のセキュリティ、使いやすさ、可用性、コストを考慮する必要があります。
「これまでパスワードをより信頼性の高いものに置き換えなかった理由は、インターネット接続デバイスのすべての形状とサイズで、セキュリティまたは使いやすさの点で優れている可能性のあるすべての代替手段が遍在的に利用できず、コストもかかっていないことです効果的です」と、認証標準を開発するコンソーシアムであるFIDO AllianceのエグゼクティブディレクターであるBrett McDowell氏は述べています。
また、パスワード入力は、新しいWebサイトやモバイルアプリに実装するのに最も安価で簡単な認証技術です。 そして、生体認証技術などの代替手段がモバイルデバイスでより広く利用可能になりましたが、パスワード入力はすべてのデバイスがサポートするユビキタス機能のままです。 これを削除すると、多くのユーザーがこれらのサービスにアクセスできなくなります。
また、標準がないため、パスワードからの移行が困難になります。 クライアントアプリケーションおよびバックエンドサーバーに多数の異なる認証技術のサポートを追加するためのオーバーヘッドコストは、ほとんどの組織が負担できなかったものです。
そしてもちろん、人的要因が常にあります。 「一部の企業および個人は、サイバー攻撃の影響を受けず、サイバー犯罪者にとって関心がないと考え続けています。既存のソリューションを変更する意欲とリソースが不足しているため、新しいパスワードレス認証ソリューションの採用が妨げられています」分散認証システムを開発しているREMMEのCEO、Momot。
Feds Come Knocking
近年、特に政府機関や規制当局の間で、ユーザーのオンラインセキュリティとプライバシーを取り巻く意識が高まっています。 以前は、組織は法的および経済的な影響をほとんど伴わずにデータ侵害やセキュリティインシデントを回避することができましたが、それはもはや事実ではありません。
「規制当局は他の誰よりもデータ侵害の見出しにうんざりしており、行動を起こし始めており、その結果、より多くの企業がデータ保護の実践に強力な認証を追加しています」とマクダウェルは述べています。
最も関連性の高い規制措置には、一般データ保護規則(GDPR)があります。これは、企業がユーザーデータを収集、処理、および保護する方法を定義する一連の規則です。 GDPRは、強力なユーザー認証の標準も定義しています。 ルールを遵守せず、顧客のデータを保護できない企業は、厳しい罰金を科されます。 GDPRはEUの管轄区域にのみ適用されますが、EUに拠点を置いていない多くの企業は依然としてこの地域でビジネスを行っているため、現在ではセキュリティの黄金の基準と見なされています。
「ますます多くの企業が強力な認証を採用し、ますます多くのデータ侵害がパスワードの侵害によって引き起こされている現在、パスワードのみの認証がGDPR規制当局に訴えることは企業にとってますます困難になるでしょう適切なセキュリティ。潜在的に、パスワードから真の強力な認証に移行するよりもはるかに高価な罰金を科せられる可能性があります」とMcDowell氏は言います。
他の業界固有の規制は、認証技術の使用についてより明確です。 例としては、Payment Services Directive 2(PSD2)があります。これは、ヨーロッパの電子商取引とオンライン金融サービスを規制し、2要素認証(2FA)を必須にします。 PSD2は、セキュリティを損なうことなくユーザーエクスペリエンスを向上させるために、セキュリティカード、モバイルデバイス、および生体認証スキャナーの使用も推奨しています。
また、さまざまな業界の基準を定義する米国国立標準技術研究所(NIST)は、デジタルIDガイドラインで、組織はパスワードと1回限りのパスコードから離れ、最新の強力な認証を採用する必要があると述べています。
「具体的には、NISTでは、最新のデバイスが新しいアカウント資格情報として暗号化秘密キーを作成して使用し、ほとんどのスマートフォンが指紋データを安全に保存するのと同じ方法で個人デバイスに安全に保存する認証を推奨しています」とMcDowell氏は言います。
政府の規制がイノベーションを阻害するか促進するかについては議論があります。 ただし、この時点で、より安全な認証メカニズムの採用に向けた規制の推進が必要になる場合があります。
「政府はオープンスタンダードの採用において重要な役割を果たすことができます」とエーレンスバードは言います。 「たとえば、シートベルトを見てください。これもオープンスタンダードであり、その使用は政府によって規制されていました。このため、今日の道路には10倍の車がありますが、致命的な自動車事故の総数は少なくなっています」
同じページにアクセスする
パスワードのみの認証を広く置き換えるには、規制以上のものが必要です。 標準プロトコルのセットがなければ、組織や企業は、アプリケーションをユーザーが利用できるようにしつつ、セキュリティ規制に準拠した認証技術を見つけるのに苦労します。
これが、FIDOが解決するように設定された問題でした。 FIDO認証は、World Wide Web Consortium(W3C)と協力して開発された一連の無料でオープンな技術標準に基づいています。 その目的は、家電業界全体がテクノロジーを製品やプラットフォームに統合できるようにすることで、デバイスとサービス間の相互運用性を作り出すことです。
FIDOは、パスワードを公開キー暗号化に置き換えます。 つまり、パスワードの代わりに、ユーザーは公開キーと秘密キーのペアで識別されます。 公開キーで暗号化されたものは、対応する秘密キーによってのみ解読できます。 ユーザーがFIDO認証をサポートするオンラインサービスにサインアップすると、サービスはキーペアを生成し、サーバーに公開キーを保存します。 秘密鍵はユーザーのデバイスにのみ保存されます。 ログインすると、クライアントアプリケーションには公開鍵で生成された暗号化チャレンジが表示されますが、これは秘密鍵でしか解決できません。 ユーザーは、秘密キーのロックを解除して課題を解決するために、デバイスで(指紋、顔、またはPINを使用して)IDを確認する必要があります。
このモデルの利点は、パスワードの保存と交換を必要とせずに多要素認証を提供することです。 ハッカーがサービスプロバイダーのサーバーを突破したとしても、公開鍵のみにアクセスできます。公開鍵は、ユーザーのデバイスに保存された対応する秘密鍵なしでは役に立ちません。 ハッカーがユーザーのデバイスを盗んだ場合でも、ローカルのID検証をバイパスして秘密鍵を取得する必要があります。 ユーザーの観点からは、これにより、各アカウントの長く複雑なパスワードを記憶する必要がなくなり、優れたセキュリティが提供されます。
しかし、FIDOの大きな成果は、テクノロジー業界から幅広い支持を得ていることです。 この提携により、Google、Microsoft、Amazon、Intelなどの有名企業が一堂に会し、さまざまなデバイスタイプやオペレーティングシステムに簡単に実装できる標準を開発しました。
「FIDO Allianceを結成した企業は、無料およびオープンな技術標準、非常に優れたユーザーエクスペリエンス、およびセキュリティモデルに対する根本的に異なるアプローチの組み合わせによって、オンライン認証のパスワードの置き換えが商業的に実行可能になることを理解していました。 」とマクダウェルは言います。
FIDOは最近、ブラウザおよび広範なアプリケーションフレームワークへの公開キー認証のサポートを追加する標準の拡張であるFIDO2をリリースしました。 この標準は、Windows 10、Android上のGoogle Play Services、Chrome、Firefox、Edge Webブラウザーでサポートされています。 AppleのSafariブラウザの背後にあるテクノロジーであるWebKitも、近々FIDO2のサポートを追加するかもしれません。
「FIDO2標準により、公開パスワード暗号化を利用する強力なハードウェアベースの認証に弱いパスワードベースの認証を置き換えることができます」とYubicoがFIDOの主要メンバーの1人であるEhrensvard氏は述べています。 「この標準は、USBやタップアンドゴーNFCを含むいくつかの形式でパスワードなしの認証を可能にし、最適なユーザーエクスペリエンスを提供し、セキュリティと生産性を大幅に向上させます。」
パスワードが最終的になくなるのはいつですか?
業界は代替認証方法の開発に向けて長い道のりを歩んできましたが、パスワードが一晩で消えることはありません。 「多くの「レガシー」ソフトウェアおよび情報システムがあることを考慮する必要があります。そのため、パスワードベースのものを含む確立された認証ルールを簡単に変更できるとは限りません」とREMMEの最高経営責任者Momotは言います。
LogMeInのCTOであるSandor Palfyなどの他の専門家は、パスワードがユーザーを識別するための中心的な側面であり続けると考えています。 彼はまた、業界ではパスワードエクスペリエンスの改善に焦点を当てるべきだと考えています。
- 2019年のベストパスワードマネージャー2019年のベストパスワードマネージャー
- パスワードは何ですか? 音楽を再生してBrainwaves経由でログインするパスワードは何ですか? 音楽を再生してBrainwaves経由でログインする
- 古いパスワードを使用して現金を詐欺する偽のポルノメール古いパスワードを使用して現金を詐欺する偽のポルノメール
「多要素認証(または行動認証またはコンテキスト認証)によるユニバーサルカバレッジが利用可能になるまで、企業は組織全体で使用されているパスワードで保護されたサービスの強化に投資する必要があります」とPalfy氏は言います。
「すべての仕事用アカウントと個人用アカウントに固有の複雑なパスワードを記憶することは、人間の自然な行動とは一致しません。 「LastPassパスワードマネージャーの開発会社であるPalfy氏は言います。
しかし、2014年からFIDOの指揮を執ってきたマクダウェルにとって、パスワードを根絶するための探求は最終段階に到達しつつあります。 「今日、パスワードレスの未来が現実のものになりつつあります。アプリケーションは一度に1つです。数年以内に、パスワード入力フォームはWebページで見つけるのがほとんどなくなります。同じ理由-はるかに優れたユーザーエクスペリエンスを提供する、費用対効果の高いユビキタスな代替手段があります」と彼は言います。
