パスワードレス認証とは、パスワードを使用せずに本人確認を行う技術で、物理的なセキュリティキー、Authenticatorアプリ、電子メールのマジックリンク、生体認証などがあります。各々のパスワードレス認証ソリューションには、機能面で違いがあるものの、ユーザーがパスワードの作成や記憶をすることなくログインできるようにする点はすべてに共通しています。「パスワードレス化する」ということは、ログインプロセスからパスワードを排除することにより、セキュリティの強化、ストレスの軽減、顧客体験の向上を図ることを意味します。
パスワードレス認証は、様々な業界や仕様事例で利用できます。例えば、企業は物理的なセキュリティキーを発行して従業員を認証し、社内資産へのアクセスを保護できます。顧客はモバイルデバイスの指紋認証を使用して購入を確定できます。パスワードを忘れたユーザーは、電子メールのマジックリンクを使用してログインすることも可能です。
ただし、パスワードレス認証の方法や使用事例はこれらに限定されるものではなく、機能や利点の異なる幅広い用途で利用されており、そのすべてがパスワードの固有の脆弱性を凌駕します。
パスワードでの認証が脆弱である理由
パスワードベースの認証は、セキュリティチェーンの最も弱い部分であるユーザーを標的とした攻撃に対して本質的に脆弱です。ユーザーは結局のところ「多くのサービスでパスワードを使い回す」あるいは「パスワードを十分に安全なものにしない」というパスワードにおけるミスを犯してしまいます。また、フィッシング詐欺に遭い、無意識のうちにパスワードを渡してしまうこともあります。Verizonによると、侵害された認証情報の60%以上は認証情報の漏洩によるもので、その多くは「人的要因」、つまり不注意なセキュリティ対策、パスワードの誤開示、ログインの組み合わせの盗難が原因となっているとのことです。
パスワードだけに頼るのは「古典的」と考えられるようになってきた中で、パスワードの脆弱性軽減に向けて様々な強化が行われています。クレデンシャルベースの認証によって発生する問題に対処するため、ワンタイムパスワード(OTP)などの多要素認証(MFA)がパスワードと併用されるケースが増えてきました。ただし、こうした補助的な取り組みは事態をさらに複雑化し、もともとパスワードを使わざるを得ない顧客にとっての手間をさらに増すだけです。パスワードレス認証は、パスワードから発生する問題の解決を意図したものです。
すべてのパスワードレス認証方式が同じように有効なわけではない
パスワードレス認証には数十年の歴史がありますが、それでもIDセキュリティ業界の変革を進める新たな手法が続々と生まれてきています。例えば、TPM(Total Platform Module)の要件が一般化するにつれて、ユーザーへの指示を最小限に抑えながら多種多様なプラットフォームで証明書ベースの認証を実現することが可能になっています。
ただし、ベンダー各社が「パスワードレス」と説明しているすべての方法が本当にその主張通りなのか、意見が分かれるところです。例えば、生体認証を提供するソリューションの中には、FIDO2規格を採用していないパスワードベースの全体構造に生体認証を搭載しているものが見られます。残念ながら、これではパスワードを傍受したり、資格証明ストアを狙うハッカーに対するデータの脆弱性は解消されません。
IDセキュリティ業界では、以下の3つの方法が完全にパスワードレスであるとされています。
- 生体認証(指紋、顔認識、声紋など)
- 専用のハードウェアセキュリティトークン(YubiKeysなど)
- 証明書ベースの認証
2段階を踏ませるパスワードレス認証方法は欠陥があるとまでは言えないものの、完全にパスワードレスであるとも言えません。2段階を踏ませるパスワードレス認証には以下の3つの方法があります。
- ワンタイムパスコード(OTP)(PINなど)
- 電子メールのマジックリンク
- Authenticatorアプリ
これらのOTP、電子メールのマジックリンク、Authenticatorアプリが完全にパスワードレスではないと言われるのはなぜでしょうか?多くのメールプロバイダーがパスワードのみを要求する以上、メールアカウントに関わる認証は、完全にパスワードレスにはできません。こうしたことから、電子メールOTPの実体は、もう1つのさらに弱いパスワードによって保護される「疑似パスワード」であるということになります。SMS経由のOTPの安全性はさらに低いですが、これはハッカーがテキストメッセージを自身のデバイスに転送するスミッシング、中間者攻撃、SIMスワップ攻撃に対して脆弱であるからです。
同じことがマジックリンクにも当てはまります。電子メールアカウントにアクセスできる人ならば誰でもマジックリンクを使用できるためです。マジックリンクはとても便利ですが、それでもプロセスの一部にパスワードが介在することに変わりはありません。
Authenticatorアプリは絶えず変化するOTPを作成するか、あるいは他のPINベースの方法を使用するもので、電子メールアカウントのセキュリティに依存することに比べれば確かに安全ですが、完全にパスワードレスとは言えません。Authenticatorアプリの安全性は、それが実行されるデバイスによって左右されます。デバイスのセキュリティを破る方法も、マルウェア、中間者攻撃、あからさまな窃盗など数多くあり、そのどれもがハッカーの選びそうな手口です。アカウントをユーザーに根本的に紐づけるものが何もないため、必要なのはAuthenticatorアプリを実行するデバイスを標的にすることだけです。
真のパスワードレスログインの仕組み
パスワードレス認証は強力な認証を使用し、秘密を共有することもないため、ユーザーの本人確認に関係する全情報が秘密裏に保持されます。これを実現するには、システムで暗号化キーのペアを使用することが必要です。
暗号化キーのペアは、ユーザーが新規のアカウントを登録するときに作成されます。秘密鍵は常にユーザーが保持し、それが自身のデバイスから離れることはありません。それと対になる公開鍵は誰でも保持できます。あるアカウントへのログインに使用するペアは、一対の公開鍵と秘密鍵で構成されます。
ユーザーは、ログインの都度、チャレンジ質問(顔認識や指紋認識)に応じて秘密鍵を有効にします。秘密鍵が有効化されると、サービスプロバイダーが保持している公開鍵からチャレンジ質問に署名します。これでアクセスが許可されます。
パスワードレスログインの流れ
ここでは、真のパスワードレスログインの流れを段階に分けて、詳しく見ていきます。まず、認証の各要素の働き方や、従来の一要素認証がどのようなものかを確認しましょう。
認証には3つの要素があり、これらの要素を組み合わせることで信頼性が向上します。3つの要素とは、「知識情報」(本人が知っていること)、「所持物認証」(本人が持っているもの)、そして「生体情報」(本人であることの証拠)のことです。これらの2つ以上を組み合わせて認証することを多要素認証(MFA)と言います。認証の各要素の例を次に示します。
- 所持物認証:ハードトークン、USBキー、モバイルデバイス(Authenticatorアプリ搭載)
- 知識情報:パスワード、PIN、チャレンジ質問への対応
- 生体情報:顔認識、指紋その他の生体認証
ほとんどの一要素認証でユーザーに求められるのは、自分が誰であるかを宣言すること(ユーザー名入力)、そして知識情報のチャレンジ質問に答えること(パスワード入力)です。こうした認証におけるセキュリティの低さから、セキュリティホールに伴う負担や顧客体験の劣化が生じています。
しかし、一要素(知識情報)認証で最も注意すべきことは、いわゆる「秘密」がユーザーとサービスプロバイダーの間で共有されるということです。つまり、ユーザーはサイバー攻撃に対して脆弱かも知れない(そしてパスワードの漏洩を防げないかも知れない)企業に自分のパスワードを教えなければならないということです。
真のパスワードレスとは、ユーザー名、パスワード、その他の識別情報が当事者間でやり取りされないことを指します。真のパスワードレスログインの狙いは、ユーザーの識別情報をユーザー自身の管理下に置くことです。その実現に向けた最善策は、公開鍵暗号方式(PKI)を利用したFIDO規格の採用です。
主として所持情報と知識情報の要素を用いる従来のMFAとは異なり、FIDOベースのパスワードレス認証は、ユーザーの秘密鍵を暗号化された公開鍵にリンクします。ユーザーは、ログインする都度、生体認証で本人確認を行い、ローカルに保存された鍵のロックを解除します。秘密鍵で署名された認証チャレンジと公開鍵が一致すると、即座にアクセスが許可されます。
登録
- ユーザーがアプリやサービスに登録すると、登録承認要求がユーザーのデバイスに送信されます。ユーザーが生体認証リーダーでこの要求を確認します。
- ユーザー用の秘密鍵が作成されます。
- 対になる公開鍵がアプリやサービスに送信されます。
- 公開鍵が登録されます。公開鍵からチャレンジへの署名は、秘密鍵を使用しないと行えません。
認証
- ユーザーがログインしようとすると、チャレンジが生成され、そのデバイスに送信されます。
- ユーザーが生体認証リーダーで秘密鍵のロックを解除してチャレンジを承認します。
- チャレンジに秘密鍵による署名が行われます。
- 正しい秘密鍵がチャレンジに署名したかどうかを公開鍵が判断し、ユーザーがログインします。
ここで最も重要なことは、「真」のパスワードレス認証では、ユーザーの秘密鍵がユーザーとプロバイダーの間で「緩衝材」の働きをするということです。生体認証と秘密鍵は、端末の外部に出ることはありません。
パスワードレス認証の主なメリット
パスワードレス認証には多くの利点がありますが、最も重要な影響が及ぶのは顧客体験とセキュリティです。組織にとってのメリットは、各々に固有のニーズによって異なります。例えば、顧客対応型の企業では、顧客体験の向上というメリットを享受できるはずです。一方、FIDO2準拠のパスワードレスソリューションを運用する場合は、これがなければゼロトラストポリシーの大規模な実施が不可能なことも明らかになるでしょう。
パスワードレス認証の実装により期待できる成果を以下にまとめました。
- さらにスムーズで利便性の高い顧客体験 – パスワードレス認証は一般に顧客から見てはるかに使い勝手が良いとされています。複雑なパスワードを作成し、記憶する必要はありません。また、アカウントからロックアウトされる可能性もなく、素早く認証して買い物に戻ることができます。弊社のレポートによると、消費者がサービスに登録する可能性は、生体認証が利用できれば44%増し、パスワードレスのオプションがあれば35%増しになることがわかりました。
- 顧客離れの減少による収益の回復 – マスターカードによると、パスワードが思い出せない場合、顧客の最大3分の1が購入を諦めてしまうようです。企業がこうした行動に少しでも歯止めをかけられれば、完全に失ってしまうところだった収益を回復することが可能になります。また、本人確認の体験がさらに使いやすく、モバイルフレンドリーになれば、顧客のリピート率も自ずと上がります。
- セキュリティの飛躍的な改善:パスワードというサイバー攻撃の糸口を排除 – パスワードと違って、ハッカーはパスワードなしの生体認証を解読できません。ハッカーは生体情報を盗むことも、サービスの提供元をだまして生体情報を受け入れさせることもできません。生体認証情報がユーザーのデバイスから外部に出ないだけでなく、FIDO2ベースのソリューションで使用する暗号化キーのペアに部外者が入り込むことも不可能です。また、別のアカウントからパスワードが盗まれた場合でも、ハッカーが多数のサービスへの大規模な自動ログインを試みる「クレデンシャルスタッフィング」攻撃には使用できません。
- 総所有コスト(TCO)の削減やインフラのスリム化で長期的に経費を節減 –パスワードを使用する認証システムの運用には、ITサポートとメンテナンスの面で高額な費用を要します。ユーザーアカウントのリセットに費用がかかることに加えて、アカウント復旧の自動化やコールセンターへの人員配置、さらにはサポートチケットシステムの維持管理に大量のリソースを消費する可能性があります。大企業の場合は、パスワード関連のサポートに年間数百万ドルかかることも考えられる一方で、パスワードの廃止による長期的な節減額が数千万ドルに達することも期待できます。
- IDスタックの複雑さが大幅に軽減され、要素の追加・管理が容易に –CISO(最高情報セキュリティ責任者)やIT部門にとって悩みの種の1つが、パスワードを使用する認証システムのセキュリティを強化することの複雑さです。セキュリティの要件が高度化するにつれて、IDスタックに断片的な要素を追加する、補助的なアプローチを採用せざるを得ない企業が増えています。一般に、その行きつく先は管理が難しく、扱いにくい認証システムとなります。パスワードレスソリューションならば、MFAの実現や規制要件への適応が容易になり、少ない要素でより良い結果を得ることができます。
パスワードレス生体認証の仕組み
ユーザーはログインの都度、デバイスの生体認証を使用してチャレンジ質問に答えて、秘密鍵のロックを解除します。鍵のロックが解除されると同時に、サービスプロバイダーが保有する公開鍵とペアリングされます。これでユーザーがサービスを利用できるようになります。
デバイスの生体認証とは、エンドポイントデバイスに組み込まれた生体認証リーダーのことで、現在の市場では顔認証リーダーと指紋認証リーダーの2種類が主流になっています。どちらも、デバイス自体に特殊なハードウェアとセンサーが組み込まれています。
最新のデバイスによる顔認識は、3万以上の見えないドットを投影・分析してユーザーの顔の深度マップを作成しながら、同時に赤外線画像を取り込むようになっています。次に、深度マップと赤外線画像を数学的表現に変換し、これを登録されている顔のデータと比較します。
最新のデバイスによる指紋スキャンでは、高度な静電容量式タッチ技術によって指紋の高解像度画像を取り込みます。センサーは、360度の方向から指紋を読み取り、皮膚の表皮下層を分析し、各指紋をアーチ、ループ、渦巻きなどのカテゴリーに分類します。
さらに、毛穴などの変化を含む指紋隆線の細部を個々にマッピングし、そのデータを集計します。その後、リーダーがそのデータをもとに指紋を照合し、認識します。指紋認識と顔認識はその背景技術によって、現在最も正確かつ高精度の認証技術となっています。
パスワードレスソリューションの多くは、WebAuthnとCTAP(Client to Authenticator Protocol)を組み合わせたFIDO2(Fast IDentity Online)規格に準拠しています。FIDO2では認証用のデータを送信する代わりに、暗号化キーのペア(公開鍵と秘密鍵)を使用します。
FIDO2ベースのソリューションで生体認証ログインを行えば、指紋や顔の情報がデバイスの外部に出ることはありません。生体認証が一致すると、秘密鍵のロックが解除され、公開鍵とペアになります。受け手の側では、秘密鍵がチャレンジに署名するために使われたことしか分からず、こちらで秘密鍵のロックをどんな方法で解除したかは分かりません。
パスワードレス生体認証の安全性は極めて高く、また強力な認証規格であるFIDO2に準拠していれば、ユーザーの個人情報は決して送信、共有、データベース保存されません。
パスワードレス認証とMFAの関係性
多要素認証(MFA)とは、2つ以上の要素を使用する認証のことです。最も一般的な応用例はパスワードとワンタイムパスワード(OTP)を組み合わせたもので、OTPにはAuthenticatorアプリで作成されるもの、SMSで送信されるもの、電子メールで受信されるものがあります。MFAは、ユーザーの本人確認に必要な要素の数を説明する単なる方法です。例えば、指紋でロックを解除するモバイルデバイスは一要素認証ですが、技術的にはパスワードレスであり、パスワードを使用するよりも安全です。
パスワードレス認証とMFAの安全性
パスワードレスMFAについて混乱を招く恐れがあるのは、何が第2の要素にされるかです。また、AuthenticatorサービスがFIDO2規格を採用している場合は、これがデバイス自体で秘密鍵になります。簡単に言えば、FIDO2は生体認証と組み合わせて秘密鍵を用い、正しいデバイスを使用することを保証しているのです。FIDO2パスワードレス認証についてさらに読む、またはMFAとは何かを学ぶ
パスワードレス認証の実装
ユーザーのプライバシー保護とオムニチャネルによるIDポータビリティを両立させた、パスワードレス認証を提供できるのは、Transmit Securityだけです。私たちのクラウドネイティブサービスはアプリをまったく必要としない初のパスワードレス認証です。Webやアプリケーションレベルでの面倒な変更なしで、ストレスフリーな認証システムを実現します。
最も魅力的な点は、わずか数日で、開発者に優しいパスワードレスサービスを顧客のすべてのチャネルに統合できることです。OpenID Connect規格をベースにした超高速の実装によって、ほんの数週間、たった1人の開発者でも本番環境に入ることができます。
一般的なID管理移行プロジェクトには数ヶ月あるいは数年を要することもあり、それと比較すれば実装のスピードの違いは歴然としています。パスワードレスの強力な生体認証ソリューションを短期間で導入したい組織にとって、今が切り替えの絶好の機会であり、失われた収益を迅速に取り戻すことができます。
パスワードの問題を簡単に解決
パスワードレス認証とパスワードレスログインは、最も便利で安全な選択肢として急速に普及しています。IDセキュリティ業界における劇的な進歩は、顧客体験を向上させ、プライバシーとセキュリティの万全な確保をもたらしました。
もっと詳しく知りたい方はこちらTransmit Securityの詳細と、私たちがお客様の組織の困難なビジネスリスクを短期間で排除するためにどのような支援ができるかをご覧ください。