知らなきゃ損する!「パスワードレス認証」

知らなきゃ損する!「パスワードレス認証」

最近、セキュリティ事故について、多く耳にするようになりました。
常々、セキュリティ事故は発生しているのですが、リモートワークをする人たちが増え、クローズアップされているのかと個人的には考えています。

企業レベルのセキュリティ事故は、システムの脆弱性を狙った不正アクセスなどのハッキング行為や、設定ミスなどのヒューマンエラーによる情報漏洩が大半ですが、個人レベルでも、パスワードの使いまわし、脆弱なパスワードを使うことでの不正アクセスや、メールの誤送信といったヒューマンエラーによる情報漏洩が後を絶ちません。

今回は、様々なセキュリティ対策の中から、最もポピュラーな「パスワード」について考えてみたいと思います。
パスワードは、機密情報にアクセスする際に、必ずと言っていいほど必要な認証方式です。
ただ問題は、忘れたら情報にアクセスできなくなることで、忘れないように脆弱なパスワードを使ったり、使いまわしたりしているケースが多く見受けられます。
そもそもパスワードを使わずに認証できれば、この問題は回避できるはずです。
そこで生まれたのが、「パスワードレス認証」です。
世の中では、パスワードレス認証が広まり始めていると言われていますが、実際に使っている人以外は、実感はわかないでしょう。

「パスワードレス認証」とは、多要素認証の一つで、指紋や声紋、顔、静脈などの生体情報と、PCやスマホなどの所持情報、暗証番号(PIN)などの知識情報のうち二つ以上を使用して、パスワードを使用しない認証方式です。
例えば、銀行のキャッシュカードは、カードという所持情報と暗証番号という知識情報の二つを使用した多要素認証を使用しています。

感覚的に、「パスワードと暗証番号は、同じじゃないの?」と思うかもしれませんが、違うのです。
パスワードはそれ自体で認証していますが、暗証番号はそれ自体で認証しておらず、カードやPC、スマホなどのデバイス内に保存された認証情報を使用してよいかどうかの判定をしているだけです。
つまり、暗証番号、それ自体を盗まれても情報漏洩することはありません。

また、パスワードレス認証の利点については様々ですが、攻撃者側の視点でみると、ブルートフォース攻撃(※1)やリバースブルートフォース攻撃(※2)などによるログイン情報の奪取がパスワード認証よりも段違いに困難になります。

しかし、生体情報である指紋などのデータは、ユニークなだけにそれ自体が個人情報になりえます。
PCやスマホのログイン認証に使用する場合は、ローカルの暗号化領域に保存されているので安全ですが、Webサイトの認証に使用する場合は、ネット上を流れるので、盗まれる可能性があります。
では、どのように生体情報を守っているのでしょうか。
簡単に説明すると、「FIDO2(※3)」という認証技術を使用して、SSLの仕組みと同じように公開鍵暗号方式により保護しています。
また、SSLのCAサーバに代わって、FIDO2認証サーバを使用しています。

20210201_a

要するに、パスワードレス認証は「二要素」認証なので、パスワード認証より「安全」ということです。

「パスワードレス認証」に興味のある方は、無償でできますので、まずはご自分のPCのログイン認証に、Windows Hello(指紋認証や顔認証が使用できます。)を使用してみては如何でしょうか?

※1:ブルートフォース攻撃とは、ID「A」に対して、パスワード「X,Y,Z・・・」と試行して、ID「A」のパスワードを特定する攻撃です。
※2:リバースブルートフォース攻撃とは、パスワード「X」に対して、ID「A,B,C・・・」と試行して、パスワード「X」を使用しているIDを特定する攻撃です。
※3:認証に関する業界団体であるFIDO(Fast IDentity Online) Allianceによって制定された最新の認証規格です。

“>

いいね (1 いいね)
読み込み中...

ITインフラカテゴリの最新記事