パスワードレス認証の原理

概要と仕組み

パスワードレス認証

パスワードレス認証は、セキュアな認証の新しい専門用語です。正当な理由があります。消費者や、顧客および企業のデータを保護するユーザーにとって、パスワードの脆弱性は未解決です。実際、侵害の81%は、脆弱なパスワードまたは盗まれたパスワードに関係しています。また、パスワードはサイバー犯の最大の標的です。

IT部門にとって、パスワードはさまざまな面で負担になっています。まず、パスワードを安全に保存する必要があります。これを怠ると、侵害の危険性が生じ、その結果、収益や共有価値、組織の評判に大きな影響を及ぼす可能性があります。さらに、パスワードの管理者には、それらをサポートする責務も課せられています。これは、ヘルプデスクでパスワードリセットの処理が大量に生じることを意味します。

そのため、組織がパスワードを廃止し、パスワードレス認証に移行することには十分な理由があります。

パスワードレス認証はどのような仕組みなのでしょう?

パスワードレス認証は、多要素認証 (MFA)の一種ですが、パスワードの代わりに指紋またはPINなどの安全性の高い認証要素を使用します。MFAでは、ログイン時の検証に2つ以上の要素が必要です。

パスワードレス認証は、デジタル証明書(秘密鍵と公開鍵を含む暗号化キーのペア)と同じ原理です。いずれもキーと呼ばれますが、公開キーは南京錠、秘密キーはその南京錠のロックを解除する実際の鍵と考えてください。南京錠用の鍵と、鍵用の南京錠はいずれも、それぞれ1つのみです。

セキュリティで保護されたアカウントの作成を希望するユーザーは、ツール(モバイルアプリ、ブラウザの拡張機能など)を使用して、公開キーと秘密キーのペアを生成します。秘密鍵はユーザーのローカルデバイスに保存され、指紋、PIN、音声認識などの認証要素に関連付けられています。また、秘密鍵はこのようなジェスチャーでのみアクセスすることができます。公開鍵は、ユーザーがアカウントを必要とするWebサイトやアプリケーション、ブラウザなどのオンラインシステムに提供されます。

パスワードレス認証で自由とセキュリティを実現

今日のパスワードレス認証では、FIDO2標準 (WebAuthnCTAP標準を含む)が採用されています。このような標準でパスワードレス認証を使用することで、IT部門はパスワードを保護する負担から解放されます。なぜでしょうか?サービスプロバイダーとして、ユーザーの公開鍵を保存することはできますが、公開鍵は公開されている情報に過ぎません。南京錠のように、ハッカーが公開鍵を取得しても、ロックを解除する秘密鍵がなければ意味がありません。秘密鍵は、エンドユーザーまたは組織の社員が管理しています。

パスワードレス認証のもう1つの利点として、キーの作成と認証に使用するツールをユーザーが選択できる点があります。たとえば、OneLogin Protectのようなモバイルアプリがあります。また、YubiKeyなどの生体認証デバイスや物理デバイスも使用できます。ユーザーが認証しているアプリまたはWebサイトは不明です。キーペアを作成して認証する方法は関係ありません。

実際、パスワードレス認証ではこの方法を採用しています。たとえば、パスワードレス認証を実装するブラウザには、JavaScriptが使用されており、ページにアクセスしたときにダウンロードされ、マシンで実行される場合がありますが、そのスクリプトはWebサイトの一部であり、重要な情報が保存されることはありません。さらに、Webサイトはお客様の秘密鍵で信頼されていないため、サイバー犯にとって有益な攻撃対象ではありません。

多要素認証の方法として、パスワードレス認証は今後も進化し続けます。ほとんどの組織では、主な認証方法として、従来のパスワードが使用されています。しかし、パスワードに関して広く知られている問題により、ビジネスにおいて、MFAやパスワードレス認証が主流になっていくことが予想されます。

関連リソース:

パスワードを信頼することは災害のレシピであることの5つの理由

パスワードだけでは、企業データの保護には十分ではありません。それには5つの理由があります。

詳しい情報

MFAは通常のサイバー攻撃を防ぐために、どのように役に立ちますか?

多要素認証(MFA)が、最も一般的で成功例が多いタイプのいくつかのサイバー攻撃を防止するために、どのように役に立つのか見てみましょう。

学習

SSOとMFAが組み合わされて、アクセスのセキュリティを高め、テクノロジー産業のパスワード問題に取り組みます。

SSOとMFAの組み合わせが、どのように、テクノロジー会社の企業データや知的財産を保護するための鍵となっているかご覧ください。

文書をダウンロードしてください。

ゲームオブスローンがサイバーセキュリティに関して教えてくれる3つの教訓

ナイトウォッチの防御と、実世界のサイバーセキュリティチームの防御の間に類似点はあるのでしょうか?判定してください。

ブログをお読みください。