今週の月曜日にPayPalから重要な発表がありました。PayPal の顧客は、直ちにパスワードを使わず、デバイス上の認証を使用してチェックアウトできるようになります。この発表は、顧客エクスペリエンスと顧客セキュリティに大きな影響を与えます。PayPal は、金融および小売業界で革新性と優れた顧客体験を実証した最初の企業の 1 つとして、この新しいパスワードなしの時代を確実にリードしています。
注: PayPal に関するこの最近のニュースは、信頼できるブランドによるパスワードレス認証の広範な採用を示すもう 1 つの重要な指標です。Citi は Transmit Security と提携し、今年のAuthenticate 2022で FIDO2 ベースのパスワードレス認証を 2 億人の顧客に展開した経緯と教訓を共有しました。
それで、PayPal は何をしたのでしょうか?彼らは比較的新しいパスキーエクスペリエンスを実装しました。これにより、顧客はパスワードを入力する代わりに、デバイスが提供する認証方法を使用することができます。たとえば、顧客が iPhone を持っている場合は、FaceID® を使用して認証できます。顧客が Mac® をお持ちの場合は、TouchID® を使用して認証できます。パスワードは必要ありません。
パスキーは、ユーザー名やパスワードよりも安全な認証手段です。この方法は、ハッカーがユーザーのログイン資格情報を盗んでアカウントに侵入することができないため、フィッシングやソーシャル エンジニアリングの試みに対して耐性があります。PayPal のこの新しいログイン オプションは、まず PayPal.com の iPhone、iPad、Mac ユーザー向けに展開され、その後徐々に他のプラットフォームへのサポートも拡大されます。
しかし、多くのアプリケーションでは顧客が TouchID と FaceID を使用できるようになっているので、これはどう違うのでしょうか?
実際に、パスワードレス認証の進化における 3 つのマイルストーンを見ることができます。
マイルストーン 1: モバイル アプリのデバイス内認証
最初に登場したのは、Apple® と Google® がモバイル OS とアプリ向けにリリースしたインターフェースでした。これらのインターフェースにより、モバイル アプリはデバイス上の認証を使用してアプリにログインできるようになります。デバイス内認証とは、顔認識、指紋スキャン、パスコードなど、デバイスが提供する認証方法を指します。ここでの違いは、これらの認証方法は、電話、タブレット、コンピューターなどのデバイスによって実装され、デバイス自体が顧客の認証を担当することです。アプリはこのデバイスの機能を活用しているだけです。
マイルストーン 2: WebAuthn
2 番目のマイルストーンは、この機能をモバイル アプリだけでなく Web アプリケーションにも拡張した WebAuthn プロトコルでした。そのため、ブラウザで実行される Web サイトでもモバイル アプリと同じように、デバイス上の認証プロセスを呼び出すことができるようになりました。WebAuthn は、オンライン ビジネスがモバイル アプリと Web サイトの両方で同じパスワード不要のデバイス内認証エクスペリエンスを提供できるようにするため、大きな進化です。
マイルストーン 3: パスキー
3 番目のマイルストーンはパスキーです。Passkey は、WebAuthn の非常に特殊な制限を克服するために FIDO Alliance によって作成された、マルチデバイス FIDO 認証情報の一般的な用語です。WebAuthn を使用すると、顧客はパスワードレス認証用にデバイスを登録できますが、別のデバイスに移動するとすぐに、パスワードレス認証用にデバイスを再度登録する必要があります。登録プロセスは複雑で、多少の摩擦が生じる可能性があります。
Apple、Google、Microsoft は、パスキーを使用して、同じ顧客の異なるデバイス間で認証キーを転送する標準的な方法を実装しました。例えば:
- ウェブサイト「A」へのパスワードなし認証のためにiPhoneを登録します
- 私もMacを持っています
- Mac をパスワードレスで登録しなくても、Mac の指紋スキャナーを使用して Web サイト「A」に認証できます。
- この場合、Apple は iPhone で作成された認証キーを取得し、それを Mac と同期します。これは、同じ Apple ID で設定されている、私が所有するすべての Apple デバイスに当てはまります。
パスワードレス、特に FIDO 標準は今後も進化し続けます。
真のパスワードレス認証を今日から実現するお手伝い
Transmit では、世界最大級の金融機関や小売業者と連携して、パスワードレスおよびパスキーのプロジェクトに取り組んでいます。完全なパスワードレス化を検討していたのはほんの一握りの組織だけだった 1 年前と、現在では多くの組織が移行を進めていることには、確実に変化が見られます。世界最大規模の組織にパスワードレス戦略の導入についてコンサルティングや支援を行っているベンダーとして、注意を払うことをお勧めする領域がいくつかあります。
- アカウント乗っ取りの方法は異なる
パスワードレスとパスキーによって、顧客アカウントの乗っ取りを防ぐ方法について知っている、または知っていたことはすべて変わります。攻撃は異なり、そのタイミングも異なり、それを検出するためのテクノロジーも異なります。また、サイバー犯罪者は、顧客に対して創造的で効果的なキャンペーンを開始できるため、このような行動の変化を好みます。したがって、顧客をパスワードレスに移行する間および移行後に、アカウントの乗っ取りを検出して防止するための適切な制御が確実に実施されるようにしてください。この期間中に、いくつかの組織が詐欺師によって大きな被害を受けたことが確認されていますので、備えをしてください。
- テストの複雑さは現実である
パスキーとデバイス上の認証のテストは技術的に困難です。すべてのデバイス、構成のラボと多くの手作業なしに、すべてのデバイス、ブラウザ、OS 上でオンデバイス認証がどのように機能するかをテストする簡単な方法はありません。ブラウザや OS ベンダーは時間の経過とともに実装を絶えず変更するため、デバイス上の認証に関しては自動化が機能しなくなります。継続的なテストサイクルは必須であり、コストがかかります。
- 顧客登録フローを慎重に設計し、改良する
パスキーとパスワードレス認証を使用した登録フローは、顧客の採用率や混乱、サポートコールの量の点で大きな違いを生む可能性があります。適切に設計・管理されなければ、顧客や経営陣の不満を招くことになるかもしれない。
- ユーザーエクスペリエンスのエッジケースを考慮する
ユーザー エクスペリエンスを左右する依存関係や可動要素は数多くあります。これらを事前に考慮して設計しないと、エクスペリエンスが損なわれる可能性があります。考慮すべきいくつかのエッジケースは次のとおりです。- デバイス上で削除される登録
- 必要な情報をブロックするデバイス設定
- 認証ハードウェアの不具合
- サポートされているデバイスまたはサポートされていないデバイスから切り替えてアカウントにアクセスできなくなる顧客
You need to factor these—and other scenarios—in so your service can gracefully address the non-optimal situations.
- 市場投入までの時間を短縮
PayPal は長年にわたり FIDO アライアンス ボードに参加しており、長年にわたりこれらのパスワードレス プロジェクトに取り組んできた豊富な専門知識を持つチームを擁しています。Transmit は FIDO Alliance の理事会にも参加しています。当社はプロトコルと課題を熟知しており、お客様のお手伝いをいたします。あなたが今この世界に足を踏み入れ、すぐに利益を得たいと考えているなら、専門家のアドバイスとサポートを受けるべきです。
結論は
パスワードレス プロジェクトを成功させる方法について詳しく知りたいですか?Transmit Security の顧客の 1 人である、Citi のグローバル アイデンティティ & アクセス管理エンジニアリング責任者兼ディレクターの Matt Nunn によるこの概要から始めるか、当社までお問い合わせください。私たちは、さまざまな業界や世界中のチームがパスワードレス認証を最大限に活用できるよう支援しています。