Apple、Google、Microsoftは「パスキー」規格でパスワードを無効化したいと考えている

5月の第1木曜日はどうやら「世界パスワードデー」らしく、それを祝うために、Apple、 Google 、Microsoftはパスワードを廃止するための「共同努力」を行っている。大手 OS ベンダーは、「FIDO Alliance と World Wide Web Consortium が作成した共通のパスワードレス ログイン標準のサポートを拡張する」ことを望んでいます。

この規格は、「マルチデバイス FIDO 認証情報」または単に「アクセス キー」と呼ばれます。この新しいスキームでは、長い文字列の代わりに、サインインするアプリまたは Web サイトが認証のために携帯電話にリクエストを送信します。そこから、携帯電話のロックを解除し、何らかの PIN または生体認証で認証する必要があります。その後、準備を進めます。電話ベースの 2 要素認証を設定している人にとってはよく知られたシステムのように聞こえますが、これはパスワードの置き換えであり、追加の要素ではありません。

ユーザー対話用にグラフィックが提供されています。

一部のプッシュ 2FA システムはインターネット経由で動作しますが、この新しい FIDO スキームは Bluetooth 経由で動作します。ホワイトペーパーで説明されているように、「Bluetooth には物理的な近接性が必要です。つまり、認証中にユーザーの携帯電話をフィッシング耐性のある方法で使用できるようになりました。」Bluetooth の互換性についてはひどい評判があり、「セキュリティ」がこれまで重要だったのかどうかはわかりません。本当の懸念ですが、FIDO アライアンスは、Bluetooth は「物理的近接チェック」のみを目的としており、実際のログイン プロセスは「セキュリティ特性の影響を受けない」と述べています。ブルートゥース”。もちろん、これは両方のデバイスに Bluetooth が搭載されている必要があることを意味します。これはほとんどのスマートフォンやラップトップでは当然のことですが、古いデスクトップ PC では困難な作業になる可能性があります。

パスワード マネージャーがユーザーのログインを 1 つのパスワードに統合できるのと同じように、ユーザーのパスワードは Apple や Google などの大手プラットフォーム ホルダーによってコピーされる可能性があります。これにより、認証情報を新しいデバイスに簡単に転送し、紛失を防ぎ、デバイス間でパスワードを同期することが容易になります。デバイスを紛失した場合でも、大規模なプラットフォーム所有者アカウントにログイン (パスワードを使用して?) することでアカウントを回復できます。複数のデバイスを認証装置として設定することも良い考えかもしれません。

企業は何年もパスワードを廃止しようと努力してきましたが、それを達成するのは簡単ではありませんでした。Googleのブログには、2008 年に遡るタイムライン全体が掲載されています。パスワードは、長く、ランダムで、秘密で、一意であれば問題なく機能しますが、パスワードにおける人的要因が常に問題となります。私たちはランダムな長い文字列を覚えるのが苦手です。パスワードを書き留めたり、再利用したくなる誘惑にかられますが、フィッシング詐欺はユーザーをだましてパスワードを第三者に提供させようとします。セキュリティ侵害が発生すると、ユーザー名とパスワードのペアが簡単に交換され、侵害された認証情報の巨大なデータベースが存在します。

FIDO のブログ投稿には次のように記載されています。「これらの新機能は、来年にかけて Apple、Google、Microsoft のプラットフォームで利用可能になる予定です。」Apple は、「パスキー」トレンド全体を始めたと思われますが、すでにそのシステムは iOS 15 で動作しますおよび macOS Monterey に対応していますが、他のプラットフォームとはまだ互換性がありません。Google パスワードのサポートはAndroid の Play Services ですでに見られているため、準備が整い次第、古い Android デバイスでもすぐにサポートされるはずです。

FIDO Alliance からのリスト画像