パスワードはW0r$Tです！—パスワードなしの認証を採用する時が来ました

パスワードは本質的にサイバーセキュリティの脅威に対して脆弱であることは誰もが知っています。 そのため、多要素認証（MFA）を使用するように常に求められています。これは、最近まで、パスワードに1層以上の保護を追加することを意味していました。 しかし、近年、代替認証方法の多様性と可用性の向上により、ビジネスリーダーとして、パスワードなしでMFAの実装を開始できるようになりました。

最近の2022年のパスワードなし認証調査では、ビジネスリーダーの82％がパスワードなしの方法を採用する準備ができていることがわかりました。 それでは、パスワードの一部にすぎない場合でも、パスワードを破棄することでビジネスのセキュリティを強化する方法について説明しましょう。

パスワードはユーザーに摩擦を引き起こし、セキュリティをさらに弱めます

パスワードが何かに値するものであるためには、それは強力でなければなりません。 2022年には、数字、特殊文字、大文字と小文字の両方を含む少なくとも12文字を意味します。 また、アカウントごとに一意のパスワードを使用してください。 ああ、定期的に変更する必要があります。 パスワードを忘れた場合は、複雑なプロセスを経て新しいパスワードを作成するか、ヘルプデスクで保留にしてください。

言い換えると、パスワードはユーザーエクスペリエンスを低下させます。そのため、ほとんどのユーザーは基本的なパスワードプロトコルに煩わされることはありません。

驚くべきことに、回答者の77％が、少なくとも一部の時間は複数のアカウントに同じパスワードを使用しています。その割合のほぼ半分（46％）が、パスワードの再利用を頻繁に認めています。 パスワードの再利用はアカウント乗っ取り攻撃とデータ侵害の主な要因であるため、これは深刻な問題です。 パスワードをどのように覚えているかを尋ねられたとき、26％がパスワードを紙に書き留め、25％がオンライン文書に保存し、21％が個人的に意味のある情報を使用しています。

パスワードは、最良の状況では比較的弱いセキュリティを提供しますが、私たちの調査が示すように、多くのユーザーは自分自身（および自分の会社）をほぼ無防備にしています。 これにより、企業はフィッシングスキーム、キーロガー、ブルートフォース攻撃、およびサイバー犯罪者がパスワードを無効にするために使用するその他の戦術に対して脆弱になります。

では、パスワードなしの認証とは正確には何ですか？

それはまさにそのように聞こえます—パスワードを使用しない認証。 しかし、それはそれほど単純ではありません。 誰かに電話して「パスワードなしの認証を注文したい」と言うことはできません。 パスワードなしを目的地とは考えないでください。パスワードなしを目標と考えてください。パスワードをなくすという目標に向けて前進すると、会社の安全性が高まります。

先に進む前に、選択肢と人々がそれらについてどう思うかを分析しましょう。 認証には、次の3つの基本的なタイプがあります。

今日でも、5人に2人以上（43％）が知っているものを使用することを好みます。パスワード、PIN、およびセキュリティの質問の使用が何十年にもわたって最も一般的な認証方法であったため、これは驚くべきことではありません。 驚くべきことは、3人に1人（38％）が、生体認証としても知られているものを使用することを好むことです。 結果をまとめると、約5人に1人（19％）が自分の持っているものを使用することを好みます。

パスワードの代替案と、会社の従業員に最適なオプションを検討する際には、これらの設定を考慮してください。

パスワードなしの認証を採用してセキュリティを向上

パスワードなしの認証でセキュリティを向上させることができる場合、切り替えを喜んで行いますか？ この質問を389人のビジネスリーダーに提起し、82％が「はい」と答えました。 また、パスワードなしの認証は単一の要素として実行できますが（たとえば、指紋を使用して電話のロックを解除する）、企業はMFAを使用して重要なシステムや機密データへのアクセスを保護する必要があります。

幸い、ほぼすべてのビジネスリーダー（95％）が、自社が少なくとも一部のビジネスアプリケーションにMFAを使用していると述べており、55％がすべてのアプリケーションにMFAを使用していると述べています。 それらの数は、私たちがその質問をしている何年にもわたって着実に増加しています。 1つの理由は、MFAが単なるベストプラクティスではなく、ますます必要とされていることです。 調査したビジネスリーダーの半数以上（56％）が、規制（HIPAA、PCI DSS、SOXなど）によってMFAを使用する必要があると回答しており、17％がサイバー保険契約によって使用する必要があります。

これらすべてを念頭に置いて、パスワードなしのMFAがどのように機能するかを見てみましょう。

認証トークンを使用してパスワードなしのMFAを有効にする

認証トークンは、デジタル資産へのアクセスを可能にするために個人のIDに接続されているハードウェアデバイス（またはデータオブジェクト）です。 トークン（通常はスマートフォンまたはUSBハードウェアキー）は、バインドされているIDを個人的に所有していると見なされます。

Phone-as-a-tokenは何年も前から存在しており、帯域外（OOB）、ワンタイムパスワード（OTP）、そしてますますQRコード認証で構成されています。 最近、公開鍵トークンが普及してきており、トークンベースの認証の未来になる可能性が非常に高いです。 これらのさまざまなタイプのトークンがどのように使用されるかを見てみましょう。

帯域外（OOB）認証

一部のOOBメソッドは、コードを電子メールに送信するか、クリックしてサービスに即座にアクセスできる「マジックリンク」を送信します。 ほとんどの人はパスワードを使用してワンタイムパスワードまたはリンクを受け取る電子メールアカウントにアクセスするため、パスワードなしのスキーム内での電子メールおよびマジックリンクの使用には疑問があります。

OOB認証は、インターネット接続とワイヤレスネットワークなど、認証に2つの異なるチャネルを使用するように設計されています。 OOB認証の一般的な例は、電話でSMSメッセージまたは自動音声通話を受信し、そのコードをWebサイトに入力する場合です。 他の方法には、SMSメッセージよりも安全なプッシュ通知が含まれます。

ワンタイムパスワード（OTP）認証

OTP認証は通常、携帯電話の認証アプリを使用して実行され（ハードウェアOTPデバイスは存在します）、一時的なコードを生成します。このコードは、デジタル資産にアクセスするために入力されます。

クイックレスポンス（QR）コード

QRコードはレストランからスーパーボウルの広告まで至る所にあり、ますますセキュリティ目的で使用されています。 スマートフォンを使用して、Webサイトのログインペインに表示されているQRコードをスキャンすることで、認証を受けることができます。 もちろん、欠点は、QRコードを使用して電話自体からサイトにアクセスできないことです。

公開鍵トークン

公開鍵トークンは、非対称暗号化（つまり、公開鍵と秘密鍵のペア）を使用して認証され、多くの場合、X.509証明書を使用します。 公開鍵トークンは、ソフトウェアベースまたはハードウェアベース（USBハードウェアキー、スマートカード、BluetoothまたはNFC対応のスマートフォンおよびウェアラブルを含む）にすることができます。

おそらくパスワードなしの認証の未来であるFastIdentityOnline（FIDO）は、公開鍵トークンを組み込んだ一連のプロトコルであり、パスワードへの依存を減らすように特別に設計されています。 FIDO認証は2つのステップを使用します。1つはオーセンティケーターのロックを解除し、次はオンラインサービスでの認証に必要な暗号化キーを生成します。

ローカルデバイスでロックを解除するために最初のステップで使用される要素は、指紋、PINの入力、専用ハードウェアデバイス（YubiKeyなど）の挿入など、使用可能なオプションから選択できます。 FIDOオーセンティケーターのロックを解除した後、デバイスはサービスプロバイダーの公開鍵に対応する正しい秘密鍵を提供します。 最初のステップで提供される情報は非公開のままであり、ユーザーのデバイスを離れることはありません。

あなたが知っていること（パスワードではありません！）、あなたがしていること、その他すべてで認証する

パスワードなしの認証では、パスワードでない限り、知っているものを使用できます。 最も一般的な代替手段はPINです。 PINはパスワードに似ているように見えるかもしれませんが、まったく異なります。 PINは通常、デビットカードなどのローカルデバイスのロックを解除するために使用されます。 PINがないと、銀行カードは役に立ちません。 逆に、パスワードは中央データベースに保存されている情報と照合され、それ自体が脆弱です。

この領域の他の一般的な方法には、画像およびパターン認識が含まれます。 登録時に、一部のサービスでは画像の選択を求められます。 次に、認証時に、いくつかのオプションから写真を選択します。 同様に、パターン認識認証では、画像またはグリッド上の事前に選択されたポイントを覚えておく必要があります。

生体認証がより受け入れられるようになる

生体認証では、顔や指紋などの固有の物理的特性を使用してIDを認証します。 特にセキュリティ目的で使用される場合、生体認証技術が主流になりつつあります。 私たちの調査によると、消費者の76％は、顔認識を使用してコンピューターや電話にアクセスすることに慣れています。 おそらくもっと驚くべきことに、64％がオンラインアカウントにログインするためにそれを使用することに慣れています。

バイオメトリクス認証は、トークンとしての電話方式と急速に統合されています。 スマートフォンにはマイク、カメラ、指紋スキャナーがあり、これらすべてを使用して、デバイスの所有を同時に確認する一連の生体認証モードをサポートできます。

コンテキスト認証は、パスワードのないユーザーに柔軟性を提供します

コンテキスト認証方法は、IDを積極的に確認するだけでなく、場所、アクティビティ、デバイス識別子などの要素を使用してリスクを受動的に検出します。 信号ベースの認証とも呼ばれるこのプロセスにより、ゼロ要素認証（0FA）と呼ばれる究極のパスワードなしのシナリオが可能になります。これにより、リスク信号が存在しない場合にユーザーにアクセスが許可されます。 システムが不明な場合、ユーザーはPINや生体認証などの認証手段の入力を求められるだけです。

連続適応信頼（CAT）などの高度なモデルは、機械学習を使用して、ユーザーに関するさらに豊富な変数のセットを分析し、キーストロークの圧力の測定やデバイスを持って歩くときのユーザーの特定の動きの認識などのリスクを判断します。

パスワードなしの認証を実装するために実行できる3つのステップ

前述のように、パスワードなしは（少なくとも今のところは）意欲的であり、それに向けて実行するすべてのステップは、全体的なセキュリティ体制を強化します。 その精神で、あなたの会社でパスワードの数を減らすことを始めるためにあなたが取ることができる3つのステップを見てみましょう。

パスワードから離れることがチームにどのように利益をもたらし、仕事を容易にするかを正確に説明することにより、主要な利害関係者から賛同を得ます。 セキュリティ改善の優先順位を決定し、ワークフローがどのように影響を受ける可能性があるかを学び、新しい認証方法の設定を特定します。

すでに自由に使えるパスワードなしのオプションをストックして活用します。 たとえば、ビジネスで既にWindows 10を使用している場合は、生体認証やデバイスベースの認証などのローカル認証方法を組み合わせたWindows HelloforBusinessを使用できます。

次の質問をします。

• すでに利用できるパスワードなしのオプションは何ですか？
• パスワードを回避するために現在の認証フローを変更できますか？
• これらの変更により、最終的にユーザーの摩擦が軽減されますか？

パスワードなしの認証が広く採用されるように会社を準備するには、可能な場合は現在および将来の投資をシフトすることにより、時間の経過とともに移行パスを簡素化することが重要です。 新しいソフトウェアを調達するときは、バイオメトリクス、トークンとしての電話、およびFIDO2などの新しいプロトコルを活用する認証オプションの可用性を検討してください。

パスワードへの依存はまもなく通過します

最終的には、パスワードを覚えておく必要がなく、サーバーにパスワードを保存する必要がなく、ハッカーがパスワードを悪用できない未来にたどり着きます。 これは、私たちが現在住んでいるものよりもはるかに安全なデジタル世界です。 しかし、それは少しずつ起こり、ゼロ知識証明やゼロトラストセキュリティモデルなど、セキュリティについての新しい考え方が必要になります（どちらも今後の調査レポートで詳しく説明します）。

傾向は、パスワードから、より個人的で、状況に応じた、摩擦のない形式の認証に移行することです。

方法論

Capterraは、2022年1月に974人の消費者を対象に2022年のパスワードなし認証調査を実施しました。