証券各社での二要素認証の義務化が進みましたが。
アカウント乗っ取り被害はなくならず、多要素認証も突破される始末。
パスキーを使うことで認証の強化を進めてほしいというのがGAFAMあたりの見解のようですね。
デバイスの機能が強化されて、セキュリティ確保に活用できるようになりました。活用しましょう。
利用を推奨される「パスキー」
パスキーの利用が強く推奨されています。
認証する仕組みとサービスを提供する仕組みが分離されていることが特徴です。
具体的には、手元のデバイスで認証して、認証できた情報をサービス提供者に送り、サービス提供のための認証とします。
デバイスとサービスは暗号化された通信を行います。
このときには電子証明書の技術などが使われるわけです。
たとえば、マイクロソフトのサービス「Outlook Online」を利用するためのログイン(認証)を考えてみましょう。Outlook Onlineは、マイクロソフトアカウントにログインして利用します。
パスキーの場合
デバイス(スマートフォンなど)がパスキーとして利用する設定が完了していることは前提とします。
- ログイン画面を表示します。
- デバイスの生体認証(指紋認証や顔認証など)で認証します。
- ログイン完了です。
パスワードの入力は1回ですが、あらかじめ登録しているデバイスでの操作が必須です。
2要素認証の場合
- ログイン画面を表示します。
- IDとパスワードを入力(もしくは自動入力)してログインします。
- アプリのパスコードやSMSで受信したコードを入力します。
- ログイン完了です。
従来の認証方法の場合
ログイン画面を表示します。
- IDとパスワードを入力(もしくは自動入力)してログインします。
- ログイン完了です。
従来の認証で問題になるところ
問題になるところは大きく2つです。
1つ目は、IDとパスワードが漏洩することや、パスワードの強度を上げられないことです。
2つ目は、リアルタイムフィッシングなどによる多要素認証の突破の可能性です。
IDとパスワードの問題点
漏洩する可能性があります。実際にユーザー情報が漏洩する事件は発生しており、悪用事例も多数報告されています。
また、IDとしてメールアドレスを使っている場合は、すでに片方の要素が公開情報になっており、パスワードの強度が重要になります。ここで、最近のAI技術の発達と悪用によるパスワード解析能力の飛躍的な向上という問題が関係してきます。
パスワードというひとつの要素のみを解析する時間は、従来想定されていたよりもはるかに短くなってきています。
IDとパスワードでの認証のみでは、安全性の維持に限界が見えてきているように感じられます。
多要素認証の問題点
比較的安全と考えられてきた多要素認証ですが、突破する方法がいくつかあります。たとえば以下のような方法です。
- フィッシングサイトを利用
- SIMの偽証
- マルウェアによる情報の盗難
- 中間者攻撃
- ソーシャルエンジニアリング
攻撃手法を知っていることで、ある程度の抑止力にはなりますが、ある程度のリスクが残ることもまた事実です。
パスキーも完璧ではない
どのようなものでも悪用される可能性はあります。
パスキーに関しても、現時点では気がついていない脆弱性があるかもしれません。
依然として、ソーシャルエンジニアリングのリスクはあります。
無条件になんでもかんでも信じないように、アンテナは張っておくようにしたいものです。
ご意見やご感想などお聞かせください! コメント機能です。