パスワードは防御の最前線ですが、Web上のデータを保護するにはもはや十分ではありません。パスキーを使用することで、ユーザーエクスペリエンスとセキュリティを向上できます。しかし、パスキーとはどのようなものでしょうか。そして、なぜパスワードよりも優れているのでしょうか。
パスワードの課題
私たちは何世紀にもわたって、何らかの形でパスワードを利用してきました。しかし、パスワードは当初から、「人の記憶に依存する」という大きな問題を抱え続けてきました。
ユーザーは、パスワードを覚えておく必要があるだけでなく、他者が推測できない強力なパスワードを作成する必要があります。しかし、強力なパスワードとは何でしょうか。今日の基準では、強力なパスワードは非常に長く、文字、数字、記号を含む必要があり、そして最も重要なこととして、一意でなければなりません。
こうした基準を満たす強力なパスワードは記憶するのが難しく、場合によってはそれすらも不可能です。アカウントを持つすべてのWebサイトに対して、一意で長いパスワードを作成して覚えるようにユーザーに要求すると、結果としてパスワードを使いまわしてしまう可能性もあります。実際に、ほとんどの人がパスワードを使い回しています。使い回されたパスワードのいずれかが、1つでも侵害されたり漏洩したりするとどうなるでしょうか。1つの鍵で多くの扉を開けることが可能になるため、攻撃者はより少ない労力で、より多くの被害を、より迅速に与えることができます。
パスワードの侵害は、通常どのように発生するのでしょうか。一般的には、クレデンシャルスタッフィングとフィッシングの2つの方法が使用されます。
クレデンシャルスタッフィングは、サイバー犯罪者が、特定の組織から窃取したユーザー名とパスワード(侵害により取得したもの、またはダークウェブから購入したもの)を使用して、別の組織のユーザーアカウントにアクセスするという形式のサイバー攻撃です。ほとんどの人が複数のアカウントで同じパスワードを使い回していることから、クレデンシャルスタッフィング攻撃はデータ漏洩の原因として特に多くなっています。
フィッシングはソーシャルエンジニアリング攻撃の一種であり、一般的にはメールで配信され、ターゲットとなったユーザーのログイン認証情報や、クレジットカード情報やIDスキャンなどのデータを収集してアイデンティティを窃取することを目的としています。
フィッシングは実際に機能するのでしょうか。はい、フィッシング攻撃が機能する理由の詳細をご覧ください。
アカウントで多要素認証(MFA)を有効にすると、そのアカウントのパスワードが攻撃者に窃取された場合の損害を軽減するのに役立ちます。MFAでは、ワンタイムパスワード(OTP)またはコード、認証アプリ、セキュリティキー、生体認証を使用できます。
クレデンシャルスタッフィングやフィッシングを減らしながら、ユーザーエクスペリエンスとセキュリティを向上させるには、パスワードを排除する必要があります。パスキーは、これらを一括して実現する上で役立ちます。
パスキーとは?
FIDO Allianceによると、パスキーはパスワードに置き換わるものです。パスキーは公開鍵暗号方式を使用し、フィッシングや侵害に強く、ブラウザによって検出可能 (discoverable) であり、使い回すことができません。
パスワードとは異なり、これらの認証情報は完全にデバイス内に保存されます。保存先となるコンピューター、スマートフォン、セキュリティキーなどのデバイスは、パスキーのコンテキストでは認証器 (authenticator)と呼ばれます。
認証器に保存される認証情報は、ユーザーが特定のWebサイトにアクセスした際に、ブラウザによって自動的に取得されます。このように検出可能な特徴によって、認証が簡素化されるとともに、偽のWebサイトが認証情報に関連付けられないため、フィッシングが防止されます。
パスキーの利点
パスキーは、セキュリティとユーザーエクスペリエンスの向上を実現します。主な利点は次のとおりです。
- 登録とログインの迅速化
- ブラウザは、デバイスの指紋リーダーに触れるなどの簡単なユーザー操作で、サポート対象デバイスにユーザーのパスキーを作成できるため、登録プロセスが簡素化されます。
- フィッシングへの耐性
- パスキーは公開鍵暗号のキーペア(公開鍵と秘密鍵)をドメインと紐づけて活用するため、認証情報についての懸念が排除され、フィッシング、侵害、アカウント乗っ取りのリスクが軽減されます。
- 漏洩への耐性
- 秘密鍵は常に認証器(ユーザーのデバイスなど)に保存され、公開鍵はRelying Party(サーバー)に保存されます。したがって、サーバーが侵害された場合でも、ユーザーアカウントにアクセスするために攻撃者が使用できる機密情報は漏洩しません。
- 利便性
- パスキーは、同じエコシステム内のデバイス間を「自由に移動」し、ブラウザによって検出可能であるため、導入が簡単です。たとえば、Googleパスワードマネージャーに保存されているパスキーは、Googleアカウントにアクセスできるどのデバイスでも使用できます。
- 複数のデバイスで使用可能
- パスキーは、エコシステムやプラットフォームに関係なく、クロスデバイス認証を実行することも可能です。たとえば、Apple MacBookの認証器として、Androidスマートフォンを使用するといったことが簡単に可能になります。この手法は、Bluetoothを使用してデバイスが近くにあることを確認することで、セキュリティも確保します。
パスキーの種類
認証器が多様であるため、パスキーにもさまざまなタイプがあります。現在、認証器は、デバイス固定パスキーまたは同期パスキーのいずれかを作成できます。
単一の認証器に保存されたパスキーは、「デバイス固定パスキー」と呼ばれます。たとえば、YubikeyなどのFIDO2セキュリティキーです。このタイプのパスキーは、秘密鍵が認証器の外に出ることがないため、より安全です。その反面、利便性が若干低下します。
「同期パスキー」は、複数のデバイスで利用でき、ユーザーエクスペリエンスが向上します。秘密鍵はエンドツーエンドで暗号化され、クラウドで同期されます。たとえば、Appleエコシステムでは、秘密鍵はiCloudキーチェーンで同期され、1つのデバイスで登録すると、同期されたすべてのAppleデバイスでログインできます。Chromeブラウザを使用するGoogleエコシステムでも同様です。また、1Passwordなどのパスワードマネージャーを使用してパスキーを保存することも可能です。このタイプのパスキーは、新しいデバイスに復元できます。ただし、ユーザーはクラウド環境へのアクセスも保護する必要があるため、単一のデバイスに保存されたパスキーに比べて安全性が低くなる場合があります。
次のステップ
パスキーがどのようなもので、アプリケーションのセキュリティ態勢をどのように簡素化/改善するのかを簡単に説明してきました。業界標準に基づくパスキーの採用は日々急速に増加しています。この画期的なテクノロジーを、ぜひ早期に導入しましょう。
パスキーの利用方法を確認
Passkeys Playgroundのデモでは、ユーザーのサインアップとログインでのパスキーの仕組みを理解できます。パスキーをWebAuthnで扱う方法や、作成したパスキーを削除する方法をご確認ください。
パスキーの知識を広げる
パスキーについてさらに詳しく理解するには、厳選されたブログ投稿、動画、ワークショップをご活用ください。
ユーザーがパスワードを覚えておく必要はもうありません
このPasskeys Playgroundは、認証、認可画面の構築をサポートするAuth0 by Oktaにより提供されます。
