パスワードの長いリストを覚えたり管理したりすることにうんざりしていませんか?良いニュースです。未来はパスワードレスです。現在すでに使用している一部のサービスについては、パスワードなし (またはそれに近い状態) にすることもできるかもしれません。
「パスワードレス」とはどういう意味ですか?
パスワードなしのログインでは、覚えているパスワードであっても、 パスワード マネージャー で追跡しているパスワードであっても、パスワードを入力する必要がなくなります。ユーザー名や電子メール アドレスなどの識別子を覚えておく必要はありますが、他の手段で身元を証明することになります。
パスワードレスの実装にはさまざまな程度があります。多くの人にとっての最終目標は、パスワードを完全に削除することです。これは、パスワードを使用してログインすることがまったく不可能になることを意味します。すでに導入されている一部のアプローチでは、オプションとしてパスワードを使用してログインできると同時に、他の手段を使用して本人確認を行うことができます。
パスワードを削除するには、本人であることを確認するための さまざまな方法 が必要です。これは、自分だけがアクセスできる モバイル認証アプリ 、 指紋 や 顔スキャン などの生体認証、キーカードや USB スティック などの物理的な現実世界のデバイス、または SMS や電子メール コードなどの安全性の低いアプローチである可能性があります。
身元を証明するために複数の方法を使用する必要がある場合があります。 2 要素認証は多面的なアプローチの重要性を実証しており、アクセスしようとしているサービスが採用するアプローチによっては、パスワードのない将来でもそれが当てはまる可能性があります。
Web 認証 (WebAuthn) などの新しい標準のおかげで、パスワードなしのログインの導入が進歩しました。このアプローチにより、指紋記録や顔の似顔絵などの 生体認証データ を中央サーバーに保存する必要がなくなります。これにより、パスワード侵害でさえも及ばない壊滅的なセキュリティ上の影響を与える可能性があります。
Web 認証を使用すると、機密データをデバイス上に残すことができ、キーのみがサーバーに送信されます。検証はデバイス上でローカルに行われ、その後サーバー上の公開キーを使用して検証されます。これにより、シークレットはローカル デバイス上にのみ存在する必要があるため、サーバー上でシークレット情報 (パスワードなど) を保護する必要がなくなります。
パスワードレス化にはどのようなメリットがありますか?
パスワードレス化の最大の利点の 1 つは、シンプルさです。ほとんどの人はすでにパスワード マネージャーの使用に慣れていますが、いくつかのパスワード (マスター パスワードなど) を頭の中に入れておく必要があります。結局のところ、データベースのパスワードを、パスワードが含まれているデータベースに保存することはできません。
パスワードレスにすることで、何も覚えずに本人確認を行うことができます。場合によっては、モバイル アプリで認証するか、顔や指紋をスキャンする必要があります。それだけで済みます。
パスワード マネージャーを使用する必要がある場合でも、誰もが使用しているわけではありません。未だに「小さな黒い本」アプローチに依存している企業もあれば、サインアップする新しいサービスごとに 一意のパスワード を使用していない企業もいます。一部のサービスでは 2 要素認証が必要ですが、多くのサービスは必要ありません。
「Have I Been Pwned」 を参照して、あなたの電子メール アドレスに関連する データ侵害の 件数を確認すると、なぜこれほど多くの人がパスワードを世界から排除しようと必死になっているのかがすぐにわかります。
パスワードを完全に削除すると、アカウントのセキュリティの弱点が解消されます。これは一夜にして実現するものではなく、多くの人が代替の検証方法を使用する未来を受け入れるには時間がかかるでしょう。パスワード侵害に伴うコストが非常に大きくなる可能性があるため、ビジネスの世界ではすでに YubiKey のようなソリューションが導入されています。
Yubico の YubiKey 5 NFC – 2FA USB-A および NFC セキュリティ キー
コンピュータやモバイル デバイスのパスワードレス セキュリティが簡単になりました。
このコストは必ずしもお金を意味するわけではありません。銀行や年金基金などの多くのサービスでは、パスワードのリセットを電話または郵送で行う必要があります。これには銀行と顧客の両方にとって時間がかかります。パスワードレス ソリューションは必ずしも摩擦がないわけではありませんが、エンドユーザーが数字、記号、文字の任意の文字列を記憶したり保護したりすることにはそれほど重点を置いていません。
パスワードレスにできるサービスはどれですか?
2021 年 11 月の執筆時点では、 完全なパスワードレス化を許可しているの は Microsoft だけです。つまり、アカウントからパスワードを完全に削除し、パスワードを入力したり貼り付けたりすることなく、Xbox、Microsoft 365、Windows などの Microsoft のサービスを使用できるようになります。
これを行うには、 Android または iOS 用の Microsoft Authenticator アプリをダウンロードし、Web ブラウザーで Microsoft アカウント にログインします。ログインしたら、[高度なセキュリティ オプション] を選択し、[追加のセキュリティ] まで下にスクロールして、パスワードなしアカウントのオプションの横にある [有効にする] をクリックします。
プロセスの一環として、Microsoft Authenticator アプリにアクセスできなくなった場合に Microsoft アカウントにログインするために使用できるバックアップ コードを保存するよう求められます。 Microsoft のセキュリティ オプション Web サイトにいつでもアクセスして、後日アカウントへのパスワード ログインを復元する機能をオフにすることができます。
Googleもパスワードレスの未来に向けて進んでおり、同社は2021年5月に「いつかパスワードがまったく必要なくなる未来を創造する」と 発表した 。 Android デバイスをお持ちの場合は 、スマートフォンを使用してウェブにログイン できます。Google アカウントにログインし、[セキュリティ] をタップして、[電話を使用してサインイン] の横にある [設定] を選択します。
Apple はまた、2021 年後半にリリースされた iOS 15 および macOS 12 の Safari で Web 上でパスワードなしのログインを実装する動きを見せました。新しい「iCloud キーチェーンのパスキー」機能は、開発者がテストを開始できるようになりましたが、何も準備ができていないかアクセスできるものではありません。現時点ではコンシューマ ビルドではまだ使用できません。
Apple の Garret Davidson 氏は 、WWDC 2021 セッション で、そのアプローチが公開鍵と秘密鍵のペアを使用して WebAuthn をどのように活用しているかについて説明しました。
パスワードの代わりに公開キーと秘密キーのペアを使用すると、デバイスはキーのペアを作成します。これらのキーの 1 つは公開キーです。ユーザー名と同じように公開されます。それは誰とでも共有でき、秘密ではありません。もう 1 つのキーは秘密キーです。アカウントを作成すると、デバイスはこれら 2 つの関連付けられたキーを生成します。次に、公開キーをサーバーと共有します。
これで、サーバーには公開キーのコピーが保持されます。秘密キーはデバイス上に残り、そのデバイスだけが秘密キーを保護する責任を負います。後でサインインするときに、サーバーに機密情報を送信する必要はありません。代わりに、デバイスがアカウントの公開キーに関連付けられた秘密キーを知っていることを証明することで、それが自分のアカウントであることを証明します。
簡単に言うと、デバイスは公開キーを使用して、デバイス上でローカルに、「署名」によって本人であることを確認します。有効な署名を生成できるのは秘密キーだけであるため、秘密キーを知っているデバイスのみがテストに合格できます。次に、サーバーは公開キーと照合して署名をチェックし、アクセスを許可するかどうかを決定します。
これは、WebAuthn の仕組みと、Apple が顔認識や指紋スキャンなどのテクノロジーと組み合わせて、WebAuthn を使用してデバイスのパスワードを置き換える方法の基本的な概要です。
iPhone、iPad、Mac では 、Apple Pay での支払い 、デバイスへのログイン、App Store のダウンロードのパスワード要件をすでにオフにすることができますが、これは同じアプローチをさらに一歩進めて、他のサービスにも拡張します。
パスワードレスのアプローチは完璧ではない
完璧、ハッキング防止、または完全に確実なソリューションはありません。デバイスにアクセスできなくなったり、ログインしたままになったりしてアカウントが危険にさらされる可能性があります。 Face ID や Touch ID でさえ、眠っている人や意識を失っている人に悪用されたり、探している生体認証データの本物の ような複製を作成したりする 可能性があります。
おそらく最大のハードルは、新しい方法を採用すること、そして新しいやり方を選択するためにパスワードを手放したほうが良いとほとんどの人に納得させることだろう。
しかし、ソリューションが不完全だからといって、それを完全に放棄する理由にはなりません。パスワードは時代遅れで実用的ではないため、次のステップに進む時期が来ています。 2 要素認証も完璧ではありませんが、Apple (そしてやがて Google) のような企業がそれを義務付けるのには理由があります。
パスワードマネージャーについても同様です。 Web ブラウザをパスワード マネージャーとして使用することがなぜ悪い考えであるかを 学びましょう。
