Table of Contents

パスワードレス ソリューションを選択する際に考慮すべきことは何ですか?

新規顧客やリピーター顧客にとって認証が最初のステップの 1 つとなるアプリケーションのビジネス オーナーや開発者にとって、最も簡単で安全なログイン エクスペリエンスを選択することは成功のために非常に重要です。今日、ビジネス ニーズに対応しながら、シンプルさとセキュリティに対する顧客の好みを満たす、最適なパスワードレス ソリューションを求める企業が増えています。パスワードレスのカテゴリ内でも、パスワードレスの認証方法にはさまざまな種類があります。検討すべき人気のあるオプションをいくつか紹介します。

  • メールのマジック リンク– ユーザーは自分のメール アドレスを入力して、ログインするためのマジック リンクまたは一意のコードを取得し、自分のアカウントに追加されたメール アドレスを所有していることを証明します。

  • SMS OTP – ログインするための一意のワンタイム パスコードを取得するには、電話番号を入力する必要があります。これにより、アカウントに追加された電話を所有していることを証明します。

  • 生体認証パスワードレス認証のゴールドスタンダードである指紋または顔の生体認証は、ユーザーの身元の物理的な証明を提供し、高い信頼性でアカウントへのアクセスを可能にします。

ニーズと優先事項を特定する

どのパスワードレス顧客認証ソリューションが適切かを決定する前に、業界、ビジネス、顧客に固有のさまざまな考慮事項を検討してください。

顧客体験とセキュリティ

通常、顧客体験 (CX) とセキュリティのどちらがより重要かと尋ねられた場合、多くの場合、それらは同等に重要であるため、ビジネス オーナーにとって答えるのは困難です。おそらく、両方の長所を兼ね備えたソリューションが必要なのでしょう。問題は、ほとんどの顧客 ID およびアクセス管理 (CIAM) ソリューションでは、セキュリティと CX が相互に排他的であるかのように、両者を妥協するか「バランスを取る」ように求められることです。FIDO (Fast ID Online) アライアンスによる最近の進歩までは、トレードオフをしなければならないというのが現実でした。それについては後で説明しますが、まずは…

あなたのビジネスの詳細と顧客の行動について考えてみましょう。

  • セキュリティとプライバシーが最も重要視される、規制の厳しい業界に携わっていますか?
  • 一度だけ訪れるお客様や頻繁に訪れるお客様は多くいらっしゃいますか?
  • 登録時またはログイン時に顧客の離脱率が高くなっていますか?
  • 顧客はどの程度の摩擦を許容するでしょうか?
  • お客様はセキュリティと使いやすさのどちらを好みますか?どちらか一方を優先する場合、どちらが勝つでしょうか?

最後の質問の答えはソフィアの選択のように思えるかもしれませんが、これらは、どのような認証ソリューションが適切であるかを決定する詳細です。

たとえば、よりセキュリティ重視のエクスペリエンスを望み、摩擦を増やすことを心配していない場合は、SMS OTP、認証アプリ TOTP、またはマジックリンクの使用を選択できます。ただし、これらすべてには、フィッシング、傍受、または侵害される可能性のある共有秘密の使用が含まれることに注意してください。そして、多くの場合、それらはパスワードに加えて第 2 の要素として使用されます。これは、パスワードレスによって排除されるべき最大のリスクです。

CX を重視し、セキュリティをあまり重視しない場合は、パスワードを使用するという現状に満足するかもしれません。それがどれだけのコストになるか、ぜひ考えてみてほしい。トランスユニオンの2022年世界詐欺動向レポートによると、消費者の63%は詐欺の懸念がある場合、そのウェブサイトには戻らないと答えている。

同じレポートには次のことが示されています:

  • 消費者の 43% は、個人データが安全ではないと考えたため、オンライン フォームを放棄しています。
  • 回答者の 78% は、オンラインで企業と取引する前に、自分の個人データが漏洩しないことを「十分に確信」したいと答えています。

これらの統計は、詐欺リスクの認識が、デジタル サービスを選択する際の消費者の決定に影響を与える可能性があることを明らかにしています。本当の質問は、CX とセキュリティのどちらかを選択するかどうかです。両方を最適化したい場合は、アプリ内プッシュ通知、WebAuthn、デバイスの生体認証を有効にするソリューションを探してください。

モバイルユーザーとデスクトップユーザー

もう一つの質問は、顧客が好むチャネルは何ですか?ユーザーがどこから来ているのかを把握し、ユーザーにとって最適化されたエクスペリエンスを構築できるように、適切なテレメトリを収集することが重要です。さらに、ソリューションがより動的で洞察に富んでいるほど、より良いものになります。たとえば、ソリューションでは、どの顧客が FIDO ベースのデバイス内生体認証をサポートするデバイスを所有しているか、どの顧客が所有していないかを把握する必要があります。

顧客がデスクトップを優先的に使用する傾向がある場合は、アプリ内プッシュ通知や認証アプリ TOTP を選択することをお勧めします。モバイルファーストの顧客がほとんどであれば、OAuth、WebAuthn、またはデバイスの生体認証が適しているかもしれません。

ユーザー識別子

お客様の UID またはユーザー レコードを収集したり把握したりすることは、ビジネスにとってどの程度重要ですか?これらには、電話番号、電子メール、社会保障番号などが含まれます。フィンテック、ヘルスケア、旅行などの業界では、認証フローにこの情報が必要になります。つまり、提供する認証方法に影響を及ぼす可能性のあるさまざまなユーザー レコード要件が存在します。

アプリベース vs. アプリレス

洗練されたソリューションは、顧客がドメインに登録またはログインするときに、顧客がすでに持っているテクノロジーを活用できる必要があります。つまり、クライアント側のアプリがすでにデバイスにダウンロードされているのか、それとも Web を使用しているのかということです。

ここでも、顧客の何パーセントがすでに生体認証対応デバイスを持っているかを検討してください。

北米、アジア、西ヨーロッパで使用されている携帯電話の約 80% に生体認証機能が搭載されていると推定されます。

— スタティスタ

これは顧客ベースの大部分を占めていますか?

アプリ経由での登録を要求することは、ビジネスオーナーが好む追加のセキュリティ層になる可能性があります。しかし、その追加レイヤーにより、アプリをダウンロードする意思のある顧客に対しても追加の手順が必要になります。アプリ不要のパスワードレス ソリューションにより、参入障壁が下がり、パスワードレスの採用率が向上する可能性があります。

デバイス依存 vs. デバイス非依存

企業は、顧客の特定のデバイスが特定の登録、認証、または承認方法に使用できるかどうかを自動的に認識できるソリューションを必要とする場合があります。セキュリティを強化するために、企業では特定のアプリ(組織が提供するアプリ)のみを許可するように要求する場合があります。

ビジネス分野

次の質問は、さまざまなビジネス セグメントに適用された場合、これらのパスワードレス要件について企業はどのように考えているかということです。たとえば、さまざまな種類の顧客に対応する非常に大規模な企業で働いているとします。たとえば、ディズニーはディズニージュニアやヒストリーチャンネルなどのテーマパークやメディア企業を所有しています。幅広い顧客の好み、あらゆる年齢層や人口統計の顧客が使用するテクノロジーやデバイスとの関わり方に対応する必要があります。

全員が CX とセキュリティに関心を持っていますが、ある方向に傾いている人は他の人よりもいます。小売業や顧客ソフトウェアなどの業界では、数百万の顧客に対応して解約を防ぐために、モバイル アプリとパフォーマンスを優先する場合があります。Google によると、ページの読み込み時間が 1 ~ 3 秒遅れると直帰率が 32% 増加し、ページの読み込み時間が最大 5 秒かかると直帰率は 90% 増加します。

一方、B2B とヘルスケアでは、規制遵守と低い解約率のため、デスクトップ コンピューター (はい、まだ存在します) とセキュリティ (常に重要) を重視しています。

尋ねるべき重要な質問:

  • ユーザーはどのくらいの頻度でアプリやサービスに戻ってくるでしょうか?
  • ユーザーはどのデバイスを使用していますか (モバイル、ラップトップ、デスクトップ、新しいもの、古いもの)?
  • アカウント乗っ取りの総コスト(チャージバック、カスタマー サービスへの問い合わせ、コンプライアンス違反の罰金、ブランドの損害、顧客の信頼の喪失)はいくらですか?
  • 登録または認証の際の過度の摩擦により顧客を失うことによるコストはどれくらいでしょうか?

Transmit Security WebAuthnソリューション

あなたのビジネスにとって最も効率的なソリューションは、上記の考慮事項に対するあなたの答えによって決まります。しかし、CX とセキュリティの両方を向上させたい場合は、WebAuthn ソリューションを検討してください。理由はこうです。まず、FIDO2 仕様の中核コンポーネントである WebAuthn は、Web ベースの API であり、これを使用すると、Web サイトのログイン ページを更新して、サポートされているすべてのブラウザーとプラットフォームで FIDO ベースの認証を追加できます。開発者が WebAuthn をより簡単に利用できるようにするソリューションを見つけることが特に重要です。

Transmit Security のパスワードレスおよび MFA クラウドネイティブ サービスは、WebAuthn エクスペリエンスを構築するための 2 つのアプローチを提供します。

  • 当社の SDK を介した API – SDK は、安全な WebAuthn パスワードレス認証を提供するために必要なすべての作業を実行し、認証ロジックとユーザー エクスペリエンスを柔軟に制御できるようにします。これにより、開発者は独自のカスタマイズされたエクスペリエンスとブランド化された UI をソリューションに取り入れることができます。

  • プラグアンドプレイ(近日公開) – 単一の API 呼び出しを使用して、完全なユーザー フローをすぐに使用できます。このローコード オプションを使用すると、完全なロジックと UI がすぐに使用できるため、テストやメンテナンスの要件は必要ありません。

Transmit Security の真のパスワードレス認証が、時間の経過とともにパスワードをなくしたり段階的に廃止したりするのにどう役立つかについて詳しくご覧ください。まず、顧客の行動全体からパスワードを完全に削除できるソリューションから始める必要があります。

デバイスを紛失した場合、ほとんどのパスワードレス ソリューションでは、パスワードを使用してログインしてアカウントを回復するように求められます。パスワードがどこかに潜んでいると、アカウント乗っ取り (ATO) 詐欺につながるパスワード侵害のリスクが依然として残ります。

弊社のパスワードレスおよび MFAサービスまたは完全な CIAM プラットフォームを検討して、CX とセキュリティの間の長年の妥協に終止符を打ちましょう。さらにヒントが必要ですか?パスワードレス購入者ガイドをお読みください。

Authors