パスワードを段階的に廃止する取り組みは今週、Googleが安全で手間のかからないパスワード不要のログイン認証情報であるパスキーを導入したことで、一気に勢いを増した。これにより、数十億人のユーザーがすべての主要プラットフォームで Google アカウントにログインできるようになります。はい、これには 54% の市場シェアを誇る最も人気のあるソーシャル ログインである Google サインインも含まれます。どこにでもあるよ。ユーザーはパスキーを使用して、Google パスワード マネージャーのパスワード ボールトを保護することもできます。
パスキーは2022年にリリースされましたが、まだ広く普及していません。しかし、Google のこの動きは、抜本的な変化をもたらす可能性を秘めている。パスキーを使用すると、ユーザーは指紋または顔の生体認証で簡単にログインできます。ユーザーは、簡単な操作で、生体認証とデバイス上の秘密鍵という 2 つの要素を提示します。パスキーは、強力な暗号化方式に基づいた FIDO 標準を活用します。
以前は、Google アカウントでパスキーを使用できましたが、パスワードが必要でした。Google はパスキーを使用することでパスワードを完全に置き換え、最大のリスクと摩擦の原因がなくなりました。このブログでは、それがなぜ画期的なことなのか、そして Google パスキーの導入があなたのビジネスにどのような意味を持つのかを説明します。しかし、絵に描いたように完璧というわけではなく、一つの問題を解決すると、また別の問題が起こります。そのため、パスキーのいくつかの弱点とその保護方法についても説明します。
パスワードと従来の MFA を置き換える理由は何ですか?
まず、パスワードはフィッシングや改ざん、推測が可能であり、セキュリティ侵害の 81% の根本的な原因となっていることは誰もが知っています。パスワードが盗まれたり、漏洩したり、購入されたりすると、悪意のある人物がクレデンシャルスタッフィングを使用して他のアカウントを乗っ取ります。消費者の 84% が多くのアカウントで同じまたは類似のパスワードを再利用していることを考えると、これは簡単です。パスワードを標的にしたり使用したりする脅威はすべて非常に成功しており、ボットが攻撃を自動化するにつれて悪化するばかりです。
同時に、パスワードは顧客体験を非常に悪くします。これらは覚えにくく、ロックアウトにつながることが多く、ユーザーは煩わしいリセット プロセスを経るか、完全に離脱することになります。それはビジネスを失うことだ!また、パスワードは脆弱であるため、ワンタイムパスコード、電子メールのマジックリンク、または知識ベースの質問を追加してパスワードを強化します。これらすべての方法は顧客体験をさらに低下させ、収益に影響を与えます。
パスキーはこれらの問題をどのように解決するのでしょうか?
パスキーベースの認証情報は公開鍵と秘密鍵の暗号化によって保護されており、認証情報の詰め込み、フィッシング、および増加している OTP を狙った攻撃を防ぐことが実証されています。UX の向上という点では、パスキーを使用すると、パスワードを覚えたり、コンテキストを切り替えたり、OTP またはマジックリンクを使用して 2 要素認証を完了するために追加のデバイスを用意したりする必要がなくなります。
FIDO パスワードレス認証の拡張機能として、パスキーを複数のデバイスで使用できるため、単一のデバイスに限定されていた FIDO の制限が解消されます。これが、Apple、Google、Microsoft がパスキーの使用の緊急性を認識した理由です。暗号化された生体認証情報をクラウド内の他のパスキー対応デバイスと同期することで、マルチデバイスのサポートを追加します。
Google の戦略は、業界標準を活用して、ユーザーベースでパスワードレス認証を可能にすることです。これは、ユーザー ベースが B2E、B2B、B2C のいずれであるかに関係なく、強力なパスワードレス MFA があらゆる組織にとって優先事項になる必要があるという明確なメッセージです。
Google パスキーはどのように機能しますか?
個人のGoogleアカウントのパスキーを作成するには、 http://g.co/passkeys 設定します。リンクをクリックすると、Google はまず既存のサインイン方法で認証してパスキーを作成するように求めます。認証後、デバイス上で顔スキャン、指紋、または PIN を使用して登録できます。登録情報はローカルにのみ保存され、Google や第三者と共有されることはありません。
パスキーが作成されると、Google は、今後 Google エコシステム全体でログインする際にパスキーを使用してログインするように求めるメッセージを表示し、パスワードを入力したり 2 段階認証を完了したりする必要がなくなります。また、Google パスキーは Chrome だけでなく、Safari などの他のブラウザでもパスキーを登録できます。ただし、別のベンダーのエコシステムで使用するには、別のパスキーを作成する必要があります。
Google パスキーは認証の状況をどのように変えるのでしょうか?
パスワードレスの需要が加速すると予想
これまで、パスワードレスは主に従業員の認証に利用されてきたが、Google の発表により、パスキーの利便性とセキュリティが顧客認証にも拡張されることになる。これは業界全体に響き渡るメッセージであり、アイデンティティを第一とするセキュリティ原則を採用するよう呼びかけるものです。
これまでのテストでは、パスワードよりもパスキーでログインしたユーザーのログイン成功率が高かったとGoogleは述べている。 Wired が報じたところによると。これは、私たちトランスミットセキュリティにとって驚くことではありません。私たちは、パスワードレスの旅を通じて何百万もの顧客を導いてきました。 シティグループとの世界最大規模のパスワードレス実装。FIDOベースのパスワードレス認証のリーダーとして、 ケーススタディ オプションが与えられた場合、エンドユーザーの大多数がパスワードレスへの登録を選択し、登録したユーザーはアプリケーションに対するユーザーエンゲージメントが向上することが示されています。
詐欺師はパスキーの脆弱性を狙う
パスキーの採用が増え、それが ID と認証の新たな標準になる可能性があるので、詐欺師はこの新しいテクノロジーの脆弱性を見つけて悪用しようとするでしょう。一般的な FIDO シナリオでは、秘密鍵が Web 経由で転送されることはありませんが、ご存知のように、パスキーはクラウドまたは Bluetooth を介して複数のデバイス間で共有されます。資格情報を転送するこれらの方法は、暗号化されているとはいえ、ハッカーにとってチャンスとなる可能性があります。歴史は彼らが必ず試みるであろうことを物語っている。
私たちはすでに、基本的な MFA でこれを確認しました。攻撃者は、ユーザーに絶えず通知することで一般的な MFA 技術 (SMS や帯域外認証など) の概念を悪用し、「MFA 疲労」と呼ばれる状態を引き起こします。MFA を採用する組織が増えるにつれて、MFA 疲労戦術を使用して、いわゆるセキュリティ保護されたアカウントを侵害する悪意のある行為者も増えています。
同様に、パスキーは CX とセキュリティの面で大きなメリットをもたらすにもかかわらず、進化する脅威にさらされることになるため、これらの脅威に対するパスキーのセキュリティを強化するための追加対策が必要になることが予想されます。対処すべき主な脆弱性には次のようなものがあります。
- 共有デバイス: Google パスワード マネージャー間でパスキーを同期すると、Google エコシステム内のユーザーの共有デバイスすべてにパスキーが自動的に保存されるようになります。登録されていない共有デバイスにパスキーが同期されると、セキュリティとプライバシーに潜在的な問題が生じます。これはパスキー漏洩と呼ばれる現象で、これについては次の記事で説明します。 認証サービスの概要。
- 紛失または盗難にあったデバイス: デバイスの PIN を生体認証の代わりに使用してパスキーを認証すると、ショルダー サーフィンなどのさまざまな攻撃に対して脆弱なままとなり、悪意のある人物がユーザー アカウントやデータにアクセスできるようになります。
- 従来の認証方法へのフォールバック: ユーザーが登録したパスキーで認証できない場合は、パスワードや OTP などの従来の認証方法にフォールバックすることになり、従来の認証に伴うフィッシングやその他の攻撃のリスクが再び発生します。
- クラウド アカウントの保護: ソーシャル エンジニアリングは、常に進化するリスクであり、特にアカウントが 2 要素認証で保護されていない場合、パスキーが保存されている Google パスワード マネージャーやその他のクラウド アカウントにアクセスするために使用される可能性があります。
- リスクベースの監視の必要性: フィッシング不可能な MFA は認証中に優れた保護を提供しますが、パスキーでは、ログイン後にユーザーを標的とするセッション ハイジャックやその他の攻撃から保護するために、ユーザー ジャーニー全体にわたって継続的なリスクと信頼性の評価は提供されません。
Transmit Security がパスキーの実装を改善する方法
組織がアイデンティティファーストのセキュリティ原則に基づいて全体的なセキュリティを向上させることを目指しているため、MFA は標準的な方法になっています。残念ながら、基本的な MFA ではもはや十分ではありません。セキュリティおよびアイデンティティのリーダーは、FIDO やパスキーなどの強力な暗号化標準に基づいた、フィッシング不可能な認証情報に移行する必要があります。
企業は、パスキーのサポートを加速し、環境全体(エッジケースを含む)で一貫したユーザーエクスペリエンスを確保し、追加のセキュリティとリスク検出方法を使用して、金融アプリケーションや電子商取引など、詐欺の標的になりやすいアプリケーションや Web サイトでパスキーのセキュリティを強化し、パスキーの利点を強化してその限界を克服する必要があります。
Transmit Security 認証サービスは、企業がこれらの課題をそれぞれ解決できるよう支援し、パスキー サポートの迅速かつ安全な導入を確実に実現します。
- 導入の迅速化: 事前に構築されたユーザー フローとインターフェイス、および広範なテストを提供することで、Transmit Security は、iOS、Android、Web 環境の登録、認証、回復フローを設計、構築、継続的にテストする必要性をなくし、価値実現までの時間を短縮し、エッジ ケースによって複雑さが生じないようにします。また、バックチャネル認証、トランザクション署名、Web ブラウザを持たないデバイスでの認証などの複雑なシナリオもサポートしています。
- 脆弱性の保護: 弊社の パスキーのセキュリティ保護に関するブログでは、ネイティブ統合を通じてユーザーライフサイクル全体のリスクを軽減しています。 検出および対応サービス 機械学習を活用して、パスキーの不正な登録や使用を示唆する使用上の異常を検出します。
- 回復の強化と改善: 99.7% の精度を誇るデバイス フィンガープリンティングにより、企業は回復対象のデバイスが以前にパスキーで登録されていたかどうかを判断できます。また、豊富なテレメトリによりデバイス間の回復中にリスクを評価することで、セキュリティとユーザー エクスペリエンスを低下させる従来の認証方法に頼る必要性を軽減できます。
パスキーはユーザーに強力なログイン認証情報を提供しますが、ユーザーのライフサイクル全体にわたって信頼を動的に評価する機能は提供しません。また、パスキーを登録するには、悪意のある人物によって侵害されるケースが増えている従来の方法と同じ方法でユーザーが登録および認証する必要があります。
パスキーを、以下を含む完全なモジュール式アイデンティティサービスとネイティブに統合することにより、 検出および対応サービス Transmit Security は、リスク、信頼、詐欺、ボット、行動に関して、ユーザー行動の完全なコンテキストを考慮した継続的な適応型信頼を実現します。このクラス最高のリスクエンジンは、ネイティブに統合されているだけでなく、 本人確認サービスも活用して、正しいユーザーがパスキーを登録していることを確認し、登録時の不正行為を防ぐことができます。
パスキーの導入を迅速化
企業がパスキーを導入する時期は 今。顧客がパスキーに慣れ、採用が増えるにつれて、パスキーのサポートに対する顧客の需要が高まり、従来の認証方法で保護されているアカウントのコンバージョンがさらに減少します。パスキーを迅速かつ安全に実装する方法の詳細については、 認証サービスをご覧ください または、営業担当者に連絡して、今すぐパーソナライズされたデモを設定してください。
