Google extends passkeys to Google Workspace accounts
2023/06/05 HelpNetSecurity — 2023年5月上旬の時点で、コンシューマー向けに Passkeys の提供を開始した Google だが、今度は Google Workspace と Google Cloud のアカウント向けにも展開することになったようだ。この機能は、まもなく900万以上の組織でオープンベータ版が利用可能になり、従来のパスワードを必要としない、手間いらずのサインイン・エクスペリエンスが、ユーザーに提供されることになる。
Google の Jeroen Kemperman と Shruti Kulkarni は、「これまで通りにパスワードを使用して、職場や個人の Google アカウントにログインすることも可能だ。しかし、Passkeys を使えば、よりシンプルでセキュアな代替手段が提供され、フィッシングやソーシャルエンジニアリングによる攻撃の影響を軽減できる」と述べている。
なぜ Passkeys なのか?
Passkeys が提供するのは、セキュリティを強化しながらログイン・プロセスを簡素化するという、新しい認証方法である。つまり、スマフォ/ノートパソコン/デスクトップパソコン上で、指紋/顔認証などを用いてスクリーンロックを解除して、ユーザーはサインインできるようになる。
Passkeys を使うユーザーは、何かを覚えたり入力したりする必要がないため、認証情報を忘れることもなく、また、容易に推測されることもないため、マルウェア感染などのリスクを排除できるという。また、Passkeys を書き留めることも、さらには、誤って共有することもないため、さらにセキュリティを強化できる。
研究者たちは、「Google が 2023年3月~4月に収集した初期データによると、Passkeys とパスワードの比較において、前者は2倍も速く、4倍も間違いが少ないことが示されている」と指摘している。
また、Google の調査によると、SMS/App ベースのワンタイム・パスワードなどの従来からの方法と比較すると、自動ボット/バルクフィッシング攻撃/標的型攻撃などに対して、Passkeys による保護は高いレベルにあることが示されているという。
Kemperman と Kulkarni は、「標的型攻撃に狙われるリスクが高く、Advanced Protection Programに登録しているユーザーであっても、物理的なセキュリティキーに加えて Passkeys を使用すれば、フィッシング耐性が高まる」と付け加えている。
Google Workspace の Passkeys
今後の数週間において Google は、ユーザー向けの Passkeys 展開を段階的に推進し、Workspace 管理者向けのコントロールも提供する予定だという。
Google は、「Passkeys を使用する組織内のユーザーが、サインイン時にパスワードを省略することを、管理者は許可できるようになる。デフォルトでは、この設定は OFF になっており、サインイン時にパスワードをスキップすることは不可能だ。ただし、2段階認証 (2SV) の方法として、Passkeys を作成/使用することは可能だ」と説明している。
なお、ユーザーのプライバシーとデータを保護するために、Google のサーバや Web サイトなどに、彼らの生体認証データが送信されることはない。
Google Passkeys の適用範囲が広がったとのことです。すでに Google は、2023/05/03 「Google の Passkey:すべてのアカウントで安全なパスワードレス・サインインを実現」で、Passkeys の拡大の方針を表明していました。認証情報の保護と、そのメカニズムの改善は、とても重要なことなので、どんどんと進めてもらいたいですね。よろしければ、以下の関連記事も、ご参照ください。
2022/12/12:Chrome の Passkeys:Android/iOS の生体認証を活用
2022/10/12:Google が展開する Passkey:パスワードレス認証
IoT OT Security News 
You must be logged in to post a comment.