Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモ動画を見る
無料トライアル お問い合わせ

パスキー101:パスキーとは何か、そしてパスワードをどのように置き換えるのか

作者について

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

23 7月 2024 読了目安時間: ~

目次

このブログはこちらの英語ブログの機械翻訳です。

お客様とIDの間には決して障壁を設けたくありません。しかし、Oktaが最近発表したCustomer Identity Trends Reportでは、以下のことがわかりました。

  • 回答者の33%が、特定の要件を満たすパスワードを作成しなければならないことに不満を感じていると回答しました。
  • 回答者の63%が、ユーザー名またはパスワードを忘れたために、少なくとも月に1回アカウントにログインできないと報告しています。

そのような不満にもかかわらず、パスワードは依然としてオンライン認証の最も一般的な形式の1つであり、不便で安全ではありません。

パスワードによる被害に対抗するため、パスワードレス認証は、企業が顧客を保護しながら、より優れた利便性を提供する方法として、長年にわたって採用を増やしてきました。この分野における最新のイノベーションは、FIDO Allianceによるパスキーです。

パスキーが最初に発表されてから1年で、その命名法と可用性の両方で多くの変化がありました。しかし、まだ変わっていないことの1つは、パスキーとは何か、どのように機能するのか、そしてその利点について、より多くの認識が必要であるということです。

この投稿は、この斬新で新しい、生まれたばかりのテクノロジーをわかりやすく説明し、「パスキーって何?」という状態から「パスキー」と言えるようにすることを目的としています。

パスキーとは

パスキーは、FIDOが指摘するように、パスワードを「ユーザーのデバイス全体で、より速く、より簡単で、より安全なウェブサイトやアプリへのサインイン」に置き換えます。「パスワードとは異なり、パスキーは常に強力で、フィッシングに強い」と付け加えています。

パスキーはパスワードに代わるものと見なされるため、パスワードレス認証の一形態と見なされます。

もう少し技術的に言うと、パスキーは暗号化キーのペアです。1つは組織用の公開キー、もう1つは既知のユーザー用の秘密キーです。重要なのは、組織が秘密キーを見ることはないため、秘密キーであるということです。これらのキーペアは、ユーザーの実際の認証において重要な役割を果たしますが、それについては後ほど説明します。

パスキーには2つの形式があります。

  • 同期されたパスキー。オペレーティングシステムの生態系やパスワードマネージャーなどのクラウドサービスを介して、ユーザーのデバイス間で同期されます。顧客にとっての利点は、特定の生態系内の複数のデバイスで同じパスキーを使用できることです。
  • デバイスにバインドされたパスキー。生成されたデバイスから離れることはありません。これらは、セキュリティレベルの認証を取得したFIDOセキュリティキーで使用できます。

特に同期されたパスキーの場合、操作はシームレスで、ユーザーがモバイルデバイスのロックを解除するのと同じ方法(生体認証、PIN、またはパターンを使用)でアクセスできます。

パスキーはどのように機能しますか?

上記のように、パスキーはパスワードではなく、公開鍵暗号方式による認証に依存しています。このアプローチは、共有シークレット(パスワード)がアプリケーションサーバーに転送されないため、はるかに安全です。代わりに、公開鍵と秘密鍵のペアを使用してアプリに認証します。公開鍵は(パスワードの代わりに)アプリのサーバーに保存され、対応する秘密鍵はユーザーのデバイスに保存されます。重要なことは、秘密鍵はパスワードのようにアプリと共有されないことです。

このモデルでは、ユーザーがサインインしようとすると、パスワードで本人確認を行う代わりに、サーバーはデジタルチャレンジを発行します。これは、秘密鍵を所持していることを証明することによってのみ解決できます。これは、携帯電話、ラップトップ、タブレットでの生体認証、PIN、またはパターンを使用した、使い慣れたデバイスのロック解除を通じて行われます。ロックが解除されると、秘密鍵はチャレンジに「署名」し、公開鍵によって検証されるようにサーバーに送り返します。

重要なのは、ユーザーエクスペリエンスの観点から、暗号化の複雑さ(およびセキュリティ上の利点)が舞台裏で行われ、簡単なデバイスのロック解除への利便性が簡素化されることです。

パスキーの利点

パスキーは、利便性とセキュリティを同時に向上させます。

アプリケーションにアクセスする顧客のために、最高レベルのアカウントセキュリティでロイヤリティを高めながら、簡単なサインアップとサインインのエクスペリエンスを通じてコンバージョン率を向上させることができます。

パスキーは、FIDO標準に基づいているため、悪意のある者が書面による通信(例:メール、テキストメッセージ、または架空のWebサイト)を使用して、評判の良いソースになりすまして個人の認証情報を盗むフィッシングなどの攻撃に対して、より耐性があるように意図的に設計されています。

また、上記のように、パスキーを使用すると、組織は消費者が毎日知って使用している既存のテクノロジーを活用できます。標準化されたアプローチにより、Apple、Google、またはMicrosoftのエコシステムでデバイスを使用する消費者は、デバイスのロックを解除するのと同じ方法でパスキーを作成およびアクセスできます。

セキュリティとユーザーエクスペリエンスのメリットをより詳しく見ていきましょう。

セキュリティ上の利点

  • フィッシング耐性:CNBCは、2022年にフィッシング攻撃が61%増加したと報告しました。パスキーは、作成されたウェブサイトでのみ機能するため、ソーシャルエンジニアリング攻撃を阻止します。
  • データ侵害からより安全:データベースは、パスワードやその他の個人データが頻繁に保存されるため、サイバー犯罪者にとっての主な標的です。共有シークレット(パスワード)が共有されないため、組織のサーバーは、顧客の認証情報を盗もうとする悪意のある者にとって、それほど魅力的な標的ではなくなります。
  • デフォルトで強力:パスワードとは異なり、パスキーは常に強力で、推測されたり、見られたりすることがないため、ソーシャルエンジニアリング攻撃を受けにくいです。

ユーザーエクスペリエンスの利点

  • パスワードレスのアカウント作成:パスキーは、「未知のユーザー」から「既知の顧客」への道のりをパスワードレスにすることで、コンバージョン率を向上させることができます。Googleのデータによると、パスキーで認証するユーザーは、コンバージョンする可能性が4倍高くなります。
  • すべてのデバイスでスケーラブル:消費者は、あなたのブランドとやり取りする方法を複数持っています。パスキーを使用すると、消費者は特定のエコシステム内の複数のデバイスで同じパスキーを使用できるため、シームレスなアクセスが可能になります。パスワードとは異なり、パスキーは一度作成すると、どこでも使用できます。
  • パスワードが少ないほど、離脱する理由が少ない:面倒なパスワードポリシーが原因で、83%の顧客がアカウント作成を放棄します。パスキーを使用すると、面倒な(そして安全でない)文字列を入力する必要性を排除することで、ユーザーエンゲージメントとリテンションを向上させることができます。

パスキーは柔軟性を高めます

要約しましょう:

  • パスキーは、FIDOアライアンスによるパスワードの代替手段です
  • 複雑なパスワードを覚える必要がなくなります
  • ユーザーがモバイルデバイスのロックを解除するのと同じ方法でサインインできるようにします
  • フィッシング耐性を高めることでセキュリティを向上させます
  • そして、ログインの摩擦を減らしてコンバージョンを促進します。

これが、セキュリティ業界がパスキーに非常に期待している理由です。

しかし、それだけではありません。私たちや他の多くの人がパスキーの可能性に期待していますが、企業は顧客のニーズに応える必要があります。多様なニーズに柔軟に対応できることが重要です。

AppleGoogleなどのサービスプロバイダーは、自社製品へのサインインに柔軟性を持たせています。強力なCustomer Identity Access Management (CIAM)プラットフォーム内でパスキーを有効にすることで、デバイスやプラットフォーム全体で同様の柔軟性を提供できます。

私たちの目標は、企業が顧客にとって理にかなった方法で認証できるように、より幅広い要件を引き続きサポートすることです。Okta は、すぐに使える状態で、認証、ユーザー管理、およびアイデンティティセキュリティにおける Customer Identity プラットフォームに期待されるコアバリューとともに、複数の形式の認証(パスキーを含む)をサポートしています。当社のプラットフォームの拡張性と実装の容易さと組み合わせることで、Okta Customer Identity Cloud は、開発者とデジタルチームに必要なツールを提供し、ユーザーの喜びを知り、保護し、生成します。

貴社がCIAMを使用してパスキーによるパスワードレスの未来をどのように保護できるかについて、もっと詳しく知りたいですか?詳細については、お問い合わせください

プライバシー/法的概念、またはプライバシー/セキュリティに関するアドバイスを含むドキュメントの場合

これらの資料およびその中の推奨事項は、法的、プライバシー、セキュリティ、コンプライアンス、またはビジネス上のアドバイスではありません。これらの資料は、一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、および法的進展、または関連するすべての問題を反映していない場合があります。お客様は、ご自身の弁護士またはその他の専門アドバイザーから法的、セキュリティ、プライバシー、コンプライアンス、またはビジネス上のアドバイスを得る責任があり、本書の推奨事項に依存しないでください。Oktaは、これらの資料の推奨事項の実装に起因する可能性のある損失または損害について、お客様に責任を負いません。Oktaは、これらの資料の内容に関して、表明、保証、またはその他の保証を行いません。Oktaからお客様への契約上の保証に関する情報は、okta.com/agreementsにあります。

作者について

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ