Dオーバーロード作戦中、連合軍は友軍の姿が見えないときに友軍を識別し認証する方法を必要としていました。解決策は、標識と副標識を発行することでした。これは、1944 年のノルマンディーの戦い中に、兵士が同じ側にいて発砲しないことを伝えるために文の中で使用できる暗号語です。

そのような符号-副符号コードの1つがフラッシュ-サンダーでした。兵士は「フラッシュ」という隠語を使って文章を叫びます。もう一人の兵士は「サンダー」という言葉を使った文で応答し、最初の兵士は「ようこそ」という言葉を使ったフレーズを返し、彼のフラッシュという言葉の使用が正当であることを示しました。

今日、認証方法はより洗練されていますが、アクセスを得るには 3 つの要素 (知っていること、持っていること、自分自身であること) に依存する傾向があります。しかし、これらの認証方法は、時代遅れで安全ではないと考えられているパスワードに大きく依存しています。

「パスワードは十分な保護を提供していません」と、Fast Identity Online (FIDO) Alliance のエグゼクティブ ディレクター兼最高マーケティング責任者である Andrew Shikiar 氏と、世界経済フォーラムのサイバーセキュリティとデジタル トラストの未来を形成するプラットフォームのプロジェクト リーダーである Adrien Ogee 氏は最近の論文で述べています

FIDO は、認証テクノロジー間の相互運用性に対処するために 2012 年に作成されました。それ以来、パスワードへの依存を減らす、より強力な認証メカニズムを作成するための標準をリリースしました。

「認証はパスワードよりもはるかに幅広いものです」とShikiarとOgeeは説明しました。 「これはデジタル信頼の基盤であり、デジタル経済および第 4 次産業革命におけるサイバーセキュリティの実現要因です。つまり、認証は未来を実現する重要な要因です。」

問題

ユーザー名とパスワードを使用してオンライン システムや社内システムにアクセスするのは、1980 年代から主流になっている認証方法です。ただし、ユーザーには、数百ものアカウントに対して強力で一意のパスワードを作成する責任が課せられます。

「パスワードにより、ユーザーは文字、数字、記号、大文字と小文字の複雑な組み合わせを作成して記憶すること、頻繁に変更すること、アカウント間でパスワードを再利用しないように努めることが求められます」とシキアル氏とオージー氏は書いている。 「多くの調査と蓄積された企業経験は、個人がそのように考えたり行動したりしないことを証明しています。その結果、同じパスワードを繰り返し再利用することになります。これが、パスワードがデータ侵害の問題の核心である理由の 1 つです。」

によると、2017 年、平均的な従業員はアカウントにアクセスするために 191 個のパスワードを使用しました。パスワードの公開LastPass によって発行された、パスワード マネージャーです。パスワードの入力またはリセットにも毎年かなりの時間が費やされます。 FIDO は、従業員がこれらの活動に年間平均 11 時間を費やしていることを発見しました。

「従業員 15,000 人の会社の場合、これは平均して 520 万ドルの直接的な生産性損失に相当します。」と Ogee と Shikiar は説明しました。

IBM はまた、複雑なパスワードを使用していると報告したのは、ミレニアル世代のわずか 42 パーセントと 55 歳以上の 49 パーセントであることも判明しました。

パスワードはデータ侵害で最も一般的に侵害される情報セットの 1 つであり、悪意のある者によって使用される可能性があるため、これは懸念を引き起こします。

「データ侵害の大部分は、脆弱な認証資格情報または盗まれた認証資格情報に起因します」と Shikiar 氏と Ogee 氏は書いています。 「現在、クレデンシャル スタッフィング攻撃、つまり盗んだクレデンシャルを利用した攻撃が非常に一般的になっており、主要な小売サイトでのすべてのログイン試行の 90 パーセント以上が悪意のあるものであり、平均成功率は約 1 パーセントです。」

このレベルの不正行為は、組織と侵害されたユーザーに大きな経済的影響を及ぼします。 IBM Security によれば、「過去 6 年間で、なりすまし詐欺により 1,120 億米ドルが盗まれており、これは毎分 35,600 米ドルの損失に相当します。」F勉強してください。

「最近のデータ侵害は、私たちの身元をオンラインで検証するには新しい方法が必要であるという事実への警鐘となっています」とIBMは述べた。 「個人情報がもはやプライベートではなくなり、パスワードが再利用されたり、盗まれたり、さまざまなツールで解読されることが一般的になった時代において、ユーザー名とパスワードを使用してデータやサービスにアクセスする従来のスキームは不適切であることが繰り返し示されています。」

ユーザーは、金融活動に関連するアカウントにアクセスするために、より安全な認証方法を好むようになっています。世界中の約 4,000 人を対象とした調査で、IBM は銀行の Web サイトやアプリケーションにアクセスする際に、70% が利便性よりもセキュリティを優先していることを発見しました。一方、ソーシャル メディア アカウントでは、利便性よりもセキュリティを優先しているのは 34% のみでした。

「ユーザーは特定の種類のデータにより多くの価値を置き、その結果、場合によってはセキュリティとプライバシーを優先し、場合によっては速度と利便性を優先することが判明しました。」と IBM は述べています。

しかし、多くのユーザーが Facebook や Twitter アカウントを使用して認証し、他のアプリケーションやサービスにアクセスしているため、これは誤解である可能性があります。

「配送サービス、オンライン ショッピング、出会い系アプリなど、機密情報を保管する人気のあるサービスの多くは、ユーザーにソーシャル アカウントを使用してログインすることを奨励しています」と IBM は書いています。 「したがって、これらのソーシャル アカウントの 1 つが侵害された場合、追加のアカウントの数が攻撃者の手に渡る可能性があるドミノ効果が発生する可能性があります。」

これは、パスワードなどの情報を安全に保つ組織の能力に対する広範な信頼と自信の欠如に影響しています。

「個人はあまりにも多くの個人情報を公開することに警戒しており、パートナーは機密情報とビジネスプロセスの損失を恐れており、グローバル企業はシステムと顧客が侵害された場合に評判と収益を失う危険がある」とオージーとシキアーは書いた。

解決策

これらの要因が重なって、イノベーターは、生体認証、セキュリティ キー、QR コード認証、行動分析、ゼロ知識証明など、ユーザーが受け入れやすい新しい認証方法の開発と実装を推進しています。

わずか数年で、消費者はスマートフォンにアクセスするために顔認識や指紋などの生体認証を使用することにすでに慣れています。 Apple は 2017 年に iPhone X を発表したときに、そのソリューションのバージョンである Face ID を発表しました。

Apple は、iPhone のロックを解除するための顔認識スキャン技術の使いやすさを宣伝するとともに、侵害を防ぐために生体認証データがどのように安全に保存および処理されるかを強調しました。

「保存されたすべての顔情報は、データを極めて安全に保つためにセキュア エンクレーブによって保護され、ユーザーのプライバシーを保護するためにすべての処理はクラウドではなくデバイス上で行われます」と Apple はプレス リリースで述べています。 「Face ID は、顧客が iPhone X を見たときにのみロックを解除し、写真やマスクによるなりすましを防ぐように設計されています。」

このテクノロジーは、FIDO が時の試練を乗り越える認証プログラムを構築するために必要であると特定した 6 つの構成要素 (セキュリティ、プライバシー、持続可能性、包括性、拡張性、ユーザー エクスペリエンス) に従っています。

「セキュリティ テクノロジーは寿命が短く、急速に進化する傾向があります」と Shikiar 氏と Ogee 氏は説明しました。 「運用期間が 1 年であろうと 10 年以上であろうと、サイバー犯罪者は一般にセキュリティ制御を回避する方法を見つけることに熟達しています。認証テクノロジーも例外ではありません。したがって、長期的なセキュリティ戦略を構築することが重要です。」

PayPal、Lenovo、Nok Nok Labs、Validity Sensors、Infineon、Agnitio によって設立された FIDO は、開発者を指導し、パスワード使用からの移行を支援するために、2014 年 12 月に FIDO Universal Authentication Framework (UAF) と FIDO Universal 2nd-Factor (U2F) をリリースしました。

それ以来、他の多くの企業が参入し、FIDO 標準を満たすパスワードに代わる認証方法をリリースしました。

たとえば、Microsoft は 2019 年に、シームレスでパスワード不要のログイン エクスペリエンスを提供する取り組みの基本的なコンポーネントとして FIDO 認証を採用しました。米国一般調達局はまた、login.gov の FIDO 認証を有効にしました。login.gov は、米国の公務員および連邦職員がオンラインで連邦機関と連携して取引するためのシングル サインオン Web サイトです。

さらに、Google は、自社のプラットフォーム全体に FIDO サポートを追加しました。これには、Android 携帯電話と iPhone を高度な保護プラットフォームの物理セキュリティ キーとして使用する機能も含まれます。このプラットフォームでは従来、認証方法としてセキュリティ キーが必要でした。

「当社が昨年発表した調査によると、アカウントへのサインインにセキュリティ キーのみを使用していた人は、標的型フィッシング攻撃の被害に遭うことは一度もなかった」と、Google の高度な保護機能プログラムのプロダクト マネージャーである Shuvo Chatterjee 氏はブログ投稿で述べています。 「しかし、セキュリティ キーの使用はユーザーにとってハードルとなる可能性があります。セキュリティ キーは高価である可能性があり、追加のハードウェアを 2 つ入手して追跡するのは負担です。」

これにより、Google は FIDO の標準に準拠した方法で、スマートフォンがユーザーのセキュリティ キーとして機能できるようにする方法を開発しました。

「私たちがすでに持ち歩いているもの、つまりスマートフォンにセキュリティ キーが組み込まれていれば、すべてがはるかにシンプルになります」とチャタジー氏は説明しました。

Intuit は、モバイル アプリ全体で FIDO 承認のパスワードなしの認証方法もリリースしました。これにより、サインイン時間が 78% 短縮され、99% の確率でユーザーの認証に成功しました。これは、Intuit が以前に使用していた SMS ベースの多要素認証の認証率 80 ～ 85 パーセントを上回る増加を示しました。

「サービスプロバイダーや開発者が、これほど広範なユーザーベースに対して便利で暗号的に安全な認証を可能にする機能をこれまでに提供できたことはありませんでした」とShikiar氏は声明で述べた。 「サービス プロバイダーは現在、これらの新しい機能を世界規模で活用しています。」

しかし、パスワードの使用からの移行で新しい認証方法の開発が終わるわけではありません。

「犯罪者は順応し、セキュリティ管理は短命になる傾向がある」とシャキア氏とオージー氏は書いている。 「認証の未来には多くの道があり、その中にはブロックチェーンベースの自己主権アイデンティティやゼロトラストネットワークなど、私たちが模索し始めたばかりのものもあります。しかし、プラットフォームビジネスが当面着手すべき課題は、パスワードを置き去りにしています。」

ミーガン・ゲイツはの編集長ですセキュリティ技術。次の連絡先[email protected]。彼女を追ってください