From passwords to passkeys: Enhancing security and user satisfaction
2024/06/20 HelpNetSecurity — この Help Net Securityのインタビューでは、Stytch CTO の Julianna Lamb がパスワードレス認証の利点について語っている。つまり、パスワードをなくすことでデータ漏洩を減らし、ログイン・プロセスを簡素化することでユーザー・エクスペリエンス (UX:User eXperience) を向上させる。さらに Julianna Lamb は、Passkeys のようなパスワードレス認証方法の、技術的な課題と経済的な意味についても触れている。
UX の観点から、パスワードレスの利点はどこにあるのか?
いま現在において、データ侵害の大部分には人的要素が関与しており、悪意の行為者が多用する侵入経路は、依然として盗まれた/漏えいした認証情報によるものである。その背景にあるのは、ユーザーに大きな負担を強いるパスワードにある。それぞれのアプリケーションのために、それそれのパスワードを覚えておく方式、あるいは、パスワードを再利用する方式、パスワード・マネージャー・サービスを利用する方式がある。ようするに、パスワードは、企業にとってもユーザーにとっても、もはや有効に機能しないレガシーな認証形式なのだ。
パスワードレスにすることで、企業としては、情報漏えいのリスクを大幅に減らすことができる。Magic Links/OAuth/Passkeys のような方法を使えば、1~2 回のクリックで認証が完了し、アクセス・スピードが向上し、遅延が減るため、ユーザーの定着率とアクセシビリティが高まる。また、この種のパスワードレス認証方式により、パスワードの再設定要求をなくすことで、サポート・コストを削減し、ユーザーベースの増加に合わせて簡単に拡張できるようになる。それに加えて、パスワードの誤用に関連する内部脅威も、最小限に抑えることが可能になる。
パスワードレス認証を導入する際に、組織が直面する課題は?
Passkeys のようなパスワードレス認証方式は、エンドユーザーにとって表面上はシンプルだが、その実装においては、開発者が水面下で処理すべき複雑さもあるだろう。そこに含まれる問題としては、複数のプラットフォーム向けのアーキテクチャー、および、それらのプラットフォームでのアップデートへの対応、アカウントの回復やロックアウトの問題への対処、作成設定のコンフィグレーション、自動入力や同期などにおける複雑な UI の管理などがある。このような問題により、組織における UX が崩壊し、セキュリティ問題に対して脆弱になる可能性が生じることもある。つまり、パスワードレス認証への移行を妨げる問題でもある。
パスワードレス認証がもたらす経済的影響とは?
パスワードレス認証のフローは、これまで以上に高速であり、また、フレンドリーであるため、最終的には UX/エンゲージメント率/ライフタイム・バリューが向上していく。実際のところ、パスワードレス認証を統合した後も、オンボーディングで 80% 以上のコンバージョン率を達成した顧客もあった。パスワードレスにすることで、セキュリティと利便性が向上し、UX も向上する。
さらに、パスワード・リセットのフローごとに、生産性とサポート時間の損失として、$70 以上のコスト (アカウントごと) を要するという調査結果もある。
その結果として、平均的な組織においては、パスワードの不便さにより、毎年約 $5.2 million の損失を被っていることになる。パスワードレスにすることで、これらの経費を大幅に削減/排除し、ログイン/パスワード管理に従業員が費やす時間を削減できれば、全体的な生産性が向上し、組織の ROI 増加につながる。
最後になるが、パスワードによるアカウント保護に失敗した場合を考えると、そのコストは極めて悲惨なものとなる。AI を駆使する詐欺師が、パスワード・スプレー/クレデンシャル・スタッフィング/ボット・フィッシングなどの手法を巧妙化させるにつれ、この種のハッキングが増大していくだろう。Passkeys のようなパスワードレス認証方式は、フィッシングやクレデンシャル・スタッフィングへの耐性が高く、結果として、企業の金銭的損失や風評被害を大幅に抑えることになる。
新たなパスワード認証の方式や技術に投資する際には、常に初期費用が伴うが、データ漏洩やフィッシング攻撃の結果として組織が失う金額と比較して、その対価は遥かに少ないと考えられる。
パスワードレスを採用する場合のコンプライアンス上の考慮点は?
ユーザー企業において、パスワードレス認証を採用する場合には、さまざまな地域や業種にわたって、ユーザー・データを保護し、法的要件を遵守すべきである。具体的に言うと、いくつかの規制やコンプライアンスに関する考慮事項を、ナビゲートできるようにする必要がある。
そこに含まれるのは、GDPR や CCPA のようなデータ保護法があるが、特にバイオメトリクス・データの取り扱いやユーザー同意の取得についての、コンプライアンスを確保を考える必要がある。
インターオペラビリティセキュリティを確保するためには、FIDO アライアンスのような組織が設定した、認証基準を遵守することが極めて重要である。ユーザー組織にとって必要となるのは、強固なセキュリティ対策を実施し、定期的な評価を行い、データの使用と保護の実践に関する透明性を維持することである。
ADA/WCAG ガイドラインの遵守といったアクセシビリティの遵守は、障害のあるユーザーに対する包括性を保証すものだ。これらの考慮事項に対処することで、法的リスクを軽減し、ユーザーの信頼を築き、パスワードレス認証システムの、全体的なセキュリティを強化することが可能となる。
パスワードレス認証のトレンドを予測は?
何よりもまず、未来はパスワードレスにある。現時点において、パスワードレスへの移行に踏み切れている組織は少数かもしれない。また、多くの組織は、さまざまな理由から移行していない。しかし、今後の 10年~20年のうちに、業界やユースケースを問わず、パスワードレスへの移行が進むと確信している。
今後において、移行の速度を上げると思われる理由のひとつは、Passkeys にある。それは、私たちが大いに期待しているパスワードレスの認証形式である。数年前のことだが、WebAuthn (Passkeys を支えるテクノロジー) が初めて紹介されたとき、私たちは興奮したが、いくつかの UX 障害が残っており、それが普及を妨げていると認識していた。
つまり、複数のデバイスで Passkeys を使うには、小さな物理的なハードウェアを管理する必要があった。また、スマートフォンで生体認証などを使うことはできるが、デスクトップでは Passkeys を使えなかった。しかし、今日では多くの人が複数のデバイスを使い分けて生活している、それが、WebAuthn における、パスワードの唯一の利点だった。
しかし Passkeys があれば、WebAuthn を支える公開鍵暗号が、たとえば Android と MacBook を持っているような稀な人たちの、デバイスやオペレーティング・システムを超えて利用できるようになる。その結果として、パスワード・マネージャーの更新や、手動によるパスワードのメンテナンスは不要となり、パスワードからの置き換えが簡単になる。
この技術の手軽さに加えて、近ごろの問題である、クレデンシャルが原因となるデータ漏洩の増加も加わり、企業も個人も、新しい認証方法の採用に前向きになっていると思う。企業にとっても、個人にとっても Passkeys が、パスワードのない未来への完全な移行を支援する転換点になると、私は確信している。今後の数年以内に、アプリケーションの大半において、Passkeys が認証オプションの主流になると、私たちは予測している。
Passkeys は良さそうですね。スマフォの指紋認証などを用いて、各種のサービスにログインするのが、一般的な使い方になるのでしょうが、最近では Apple の BT Keyboard にも Touch ID が付きましたので、PC での利用も進んでいくのだろうと思います。docusign の日本語コンテンツとして提供される、「パスワードは時代遅れ?いま注目のPasskeys とは?」は、丁寧に解説してくれているので、詳しく知りたい人にはオススメです。よろしければ、Passkeys で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.