パスワードレス認証に関する真実
パスワードレス認証とは、パスワードを使用せずにユーザのIDを検証する方法です。パスワードレス認証では、所持要素(ワンタイムパスワード[OTP]、登録済みのスマートフォンなど)や生体認証(指紋、網膜スキャンなど)のような、よりセキュアな代替手段を使用します。
長きにわたり、パスワードの安全性は十分ではありませんでした。覚えるのが難しく、紛失もよく発生します。また、サイバー犯罪者が好んで狙う対象でもあります。侵害のうち実に81パーセントが、脆弱なパスワードかパスワード盗難によるものです。
以下の記事では、パスワードレス認証の詳細を説明します。
パスワードレス認証のタイプ
パスワードレス認証を実行するにはいくつかの方法があります。以下に例を示します。
- 生体認証: 指紋や網膜スキャンなどの身体的特徴、タイピングやタッチスクリーンでの動きなどの行動的特徴を使用して人物を特定します。ハッカーが最新のAIを使用して、一部の身体的特徴についてなりすましを実行することも可能ですが、行動的特徴は現在も偽造が非常に困難となっています。
- 所持要素: ユーザが所持または携帯する物により認証を行います。例えば、スマートフォンの認証アプリで生成されるコードや、SMS経由で受信するOTP、またはハードウェアトークンがあります。
- マジックリンク: ユーザがEメールアドレスを入力し、そのアドレス宛にシステムがEメールを送信します。Eメールに記載されたリンクをクリックすると、ユーザにアクセス権が付与されます。
パスワードレス認証の仕組み
パスワードレス認証は、パスワードの代わりに、本質的により安全な認証要素を使用することで機能します。パスワードベースの認証では、ユーザの提供するパスワードが、データベースに保存されているものと一致することを確認します。
生体認証など、一部のパスワードレスのシステムでは、同様に比較を行いますが、パスワードの代わりにユーザ独自の特徴を比較します。例えば、システムがユーザの顔をキャプチャし、数値データを抽出して、データベースに存在する検証データと比較します。
その他のパスワードレス認証では、別の形で比較を行います。例えば、システムがユーザの携帯電話にSMSでワンタイムのパスコードを送信します。ユーザは受信したコードをログインボックスに入力します。するとシステムは、ユーザの入力したパスコードを送信したコードと比較します。
パスワードレス認証は、デジタル証明書と同じ原理を使用しています。つまり、プライベートキーとパブリックキーからなる暗号キーのペアを比較します。いずれもキーと呼んでいますが、パブリックキーは錠で、プライベートキーはそれを解錠する鍵のようなものだと考えてください。
デジタル証明書は、錠とそれに合う鍵がそれぞれ1つのみある状態と似ています。セキュアなアカウントを作成したいユーザが、ツール(モバイルアプリやブラウザの拡張機能など)を使用して、パブリックキーとプライベートキーのペアを生成します。
プライベートキーはユーザのローカルデバイスに保存され、指紋、PIN、またはOTPなどの認証要素を使用してのみアクセスできます。パブリックキーは、ユーザが安全なアカウントを設置するシステムに提供されます。
パスワードレス認証は安全?
パスワードレス認証が安全かどうかは、「安全」の定義により異なります。「安全」が、クラッキングが困難であり、一般的なサイバー攻撃を受ける可能性が低いという意味であれば、パスワードレス認証は安全と言えます。
その「安全」が、ハッキングが不可能という意味であるなら、安全とは言えません。ハッキングが不可能とされる認証システムは存在しないためです。ハッキングを実行する明確な方法がないとしても、それは熟練のハッカーが、防衛システムをくぐり抜けられないということではありません。
とはいえ、パスワードレスの手法は、本質的にパスワードより安全です。例えば、パスワードベースのシステムをハッキングする場合、攻撃者は最も初歩的なハッキング手法である辞書攻撃(一致するまでさまざまなパスワードを試行する)を使用する可能性があります。
辞書攻撃は、アマチュアのハッカーですら実行することができます。一方で、パスワードレスのシステムに侵入するには、かなり高いレベルのハッキング経験と熟練度が必要になります。例えば、ハッカーが指紋を偽造しようとする場合、最も高度なAIアルゴリズムを使用しなければ不可能です。
MFAとパスワードレス認証の比較
パスワードレス認証では、パスワードをより適した認証要素に置き換えるのみです。一方、MFA(多要素認証)では、1つ以上の認証要素を使用して、ユーザのIDを検証します。
例えば、MFAシステムで、プライマリ認証として指紋のスキャンを、セカンダリ認証としてSMSによるOTPを使用するなどです。
パスワードレス認証をMFAと勘違いしたり、両方を同じ意味で使ったりしてしまう場合があります。これは、従来のパスワードベースのログインシステムで、パスワードレスの手法をセカンダリ認証要素として使い始めるケースが増えているためです。
パスワードレス認証を実装するには
以下に、パスワードレス認証の実装手順を示します。
- 形態を選択する: 最初の手順は、利用する認証要素を選ぶことです。利用できるオプションには、指紋、網膜スキャン、マジックリンク、ハードウェアトークンなどがあります。
- 使用する要素の数パスワードレスにするかしないかは別として、複数の認証要素を使用することが推奨されます。どれほど安全であるように見えても、1つの要素に依存することは推奨されません。
- 必要なハードウェア/ソフトウェアを購入する: パスワードレスの生体ベースの認証を実装する場合、装置を購入する必要があります。マジックリンクやMobile OTPなどの場合は、ソフトウェアのみ購入が必要です。
- ユーザをプロビジョニングする: 認証システムへのユーザ登録を始めます。例えば、顔認証システムの場合、従業員全員の顔をスキャンする必要があります。
社内でパスワードレス認証を実装することは、時間がかかる複雑な作業です。そのため、多くの企業では(OneLoginのような)サードパーティのIAMプロバイダに外部委託することが好まれます。こうすることで、プロセスを大幅に高速化し、メンテナンスのコストや懸念材料を減少させることができます。
適応型認証はパスワードレスの利便性を実現し、今日のセキュリティの課題に対応する強力な保護を提供します。
将来はパスワードレスが主流に?
パスワードが使用される場面は以前よりもはるかに減っていますが、依然として世界的に使われています。この主な理由は、パスワードベースのログインシステムは最も簡単で、最も安価に実装できるためです。ただし、当社では、いずれパスワードレス認証が取って代わると考えています。
過去2年の間、これまでにない回数のサイバー攻撃が発生しています。この状況を危機と考える企業も多く、生体認証や適応型認証(こちらについては次のセクションで説明します)への投資はますます増加しています。
さらに、多くの企業では、パスワードがデータ漏洩の主な原因となっていることを理解しています。パスワードレス認証の実装コストは、データ漏洩によって生じる罰金や損失と比較すれば微々たるものです。
最後に重要な事として、パスワードはユーザにとって煩わしいという事があります。覚えるのが大変で、リセットするのも面倒です。一方で、生体認証のようなパスワードレスの手法は便利で、はるかにユーザフレンドリーです。
パスワードレス認証と適応型(行動的)認証を組み合わせる
パスワードレス認証は、パスワードを使用することから大きく進歩していますが、完全無欠ではありません。生体認証は偽造が、OTPは傍受が可能で、ハードウェアトークンは盗難の可能性があります。したがって、IDを検証するためには、単なる認証要素以上のシステムが必要になります。それが適応型認証です。
適応型認証では、機械学習を使用して、ユーザに特徴的な行動のパターンを記録します。システムがそのパターンからの逸脱を検出すると、ログイン試行を危険と見なし、適切な対応を取ります。
例えば、平日は毎日の朝早く、ノートパソコンでシステムにログインするユーザがいるとします。システムでは、この何度も行われるログイン行動がユーザの特徴であると記録します。ある日、ユーザが土曜日にシステムにログインしました。
同じようにノートパソコンを使用し、朝早くのログインで、地理的な場所も変わりません。計算により、システムはこの行動のリスクスコアが比較的高いと判定し、SMSのOTPなどのセカンダリ認証要素を使用します。
数日後、システムは、同じユーザが異なる国から、別のデバイスを使用してログインを試行したことを検知しました。計算により、システムはリスクスコアが大きく上昇したと判定し、ユーザをブロックします。後日、この時はユーザになりすましたサイバー犯罪者がログインを試みていたことが判明しました。
パスワードレス認証を適応型認証と組み合わせることで、システムの防御力をさらに強化することができます。パスワードレス認証要素のハッキングは困難ですが、不可能とは言えません。適応型認証により、AIを活用した一段上の保護を提供できるのです。