このブログはこちらの英語ブログの機械翻訳です。
このレシピは、CIAMを例で学ぶシリーズの一部です:アプリのセキュリティとUXを向上させる4つのレシピ。このシリーズの詳細については、4つのレシピをクックブック形式でダウンロードしてください。 このレシピでは、パスキーを使用してパスワードレス認証をアプリケーションに追加する方法を学びます。 |
攻撃ベクトルは日々高度化しており、パスワードだけが悪意のある行動の容易な標的ではありません。
消費者、立法者、および組織は、AIを使用した悪意のあるターゲティングが、フィッシングや、当事者を欺いて機密情報を共有させるために使用されていることをより認識するようになっています。
たとえば、ユーザーの番号が漏洩した場合、悪意のある者がボットを展開して、登録されたデバイスを介してプッシュ通知を大量に送信して彼らを嫌がらせ、トランザクションを承認するように圧力をかけたり、QRコードで偽のベンダーページにリダイレクトしてサインインさせ、さらに多くのデータを盗むことさえあります。
フィッシング戦術には、マルウェアの展開、スパイウェアの監視、アカウントの乗っ取りなどが含まれ、ユーザーを騙して個人データを共有させ、それが繰り返し悪用される可能性があります。
パスキーとは何ですか?
パスキーは一対の鍵で構成されています。一つは公開される「公開鍵」であり、もう一つは登録済みのユーザーのみが保持する「秘密鍵」です。
この秘密鍵は外部に公開されることはなく、ユーザーが直接目にすることもありません。ユーザーは、関連付けられた公開鍵を持つ任意のチャネルを認証するためにパスキーの秘密鍵を使用できます。つまり、ユーザーは生体認証を直接設定する必要はありませんが、既存の生体認証をサービスやパートナーサービス全体で再利用できます。
開発者は、ホストされている公開鍵では悪意のある攻撃者が何もできないことを安心して知ることができます。なぜなら、コンシューマープロファイル情報や認証情報は公開鍵に関連付けられておらず、ユーザーが承認した秘密鍵のみが公開鍵とリンクしてアクセスを許可できるからです。
パスキーを使用すると、組織はスマートフォンに既存のモバイルテクノロジーを使用してネットワーク全体の消費者をサインインさせることができ、デバイスのロックを解除するために使用するのと同じ生体認証またはPINを使用して、ほぼどこでも認証を行うことができます。
なぜパスキーが今こんなに人気なのでしょうか?
お客様はログインにかかる時間を短縮したいと考えています。
テキストを送信したり、電話をかけたり、ソーシャルメディアの更新を投稿したりする方法は、AppleやGoogleなどのサービスプロバイダーが、エコシステムへのログインをより簡単かつ迅速にするために製品に組み込んでいるのと同じテクノロジーです。
現在、組織は独自のベンダーエコシステムを作成し、パスワードなしでユーザーがより安全にサインインしてデータを管理する方法を提供できます。パスキーは、プラットフォームでの認証を2.6倍高速化することもできます。
パスキーは、システムやデバイスを横断して組織がデジタル資産をより高度に制御することを可能にする優れたUX(ユーザー体験)を提供します。また、ユーザーにとってはパスワードの使用を完全に回避できるという利点も加わります。
基本的に、パスキーは、消費者がさまざまなコンテキストや環境でデバイスを変更し、シームレスなエクスペリエンスを維持できるため、消費者を満足させ、組織はファネルを強化できます。
リストに別のデジタル認証情報を追加するのは気が引けるかもしれませんが、パスキーは強力な暗号化標準によって裏付けられており、誇大宣伝する価値があります。また、OktaのAuth0を使用して、あらゆる組織がパスキーをフィッシング対策戦略に追加できます。
レシピ
材料:
パスキーは非常に簡単に設定できます。Auth0ダッシュボードでいくつかのステップを実行するだけで、クラウドでホストされているNew Universal Loginが残りの部分を更新し、すべてのユーザーがパスキーを利用できるようになります。
- 認証>認証プロファイルに移動し、Identifier Firstを選択します
- Authentication(認証) > Database(データベース)に移動し、Create DB Connection(DB接続の作成)を選択します。名前を「Passkeys」にして、Create(作成)をクリックします。次の画面でAuthentication Methods(認証方法)タブを選択し、Passkeyを有効にします。
- 以上です!ログインまたはサインアップすると、すべてのUXと安全な認証のベストプラクティスが組み込まれた、パスキーがオプションとして表示されます:
パスキー:顧客に優しいセキュリティ
パスキーを使用すると、パスワードを含む認証情報を共有せずに複数のベンダーネットワークを通過できるため、ユーザーは複数のネットワークやチャネルを安全に移動できます。
パスキーは、デバイスまたはサービスの外で共有されることはなく、パスワードを入力せずにデジタルプロパティにアクセスするためのユーザーの同意(サイドボタンのダブルタップ)を取得します。
ソフトウェアバインド
パスキーは、デバイスやサービス間でパスワードなしでユーザーを認証し、スマートフォンからタブレットに好きな番組のストリーミングを継続できます。
たとえば、ユーザーが自分のGoogle認証情報を使用してストリーミングサービスにサインアップしたが、iPhoneとiPadを持っているため、他のすべてのことにApple IDを使用しているとします。
ユーザーのiPhoneパスキーは、(本人の同意を得て)iPad上のGoogleアカウントのストリーミングサービスのパスキーを作成するために使用できます。通常の生体認証の登録やベンダー間の共有に伴う手順は一切不要で、同期されたパスキーに置き換えられます。
デバイスバインド
Yubikeyに代表されるパスキーハードウェアは、フィッシング耐性および一般消費者が利用可能なセキュリティの観点において、最高水準(ゴールドスタンダード)とされています。実際、近距離無線通信を介して実行される場合、パスキーがデバイスから離れることがなく、物理デバイスの使用が出席証明に対応するため、パスキーを使用する最も安全な方法です。
デバイスバインドされたパスキーは、互いに近接してクロスデバイス認証を実行するために使用でき、デバイス間で即座に同期、サインイン、(ストリーミングの開始)、最も安全なパスキーパターンと見なされます。
ブランドは、パスキーハードウェアの使用を推奨し、あるメディア大手のように、悪意のある活動から保護しながら、コンバージョン率の向上とアカウントサービスリクエストの劇的な減少を実現し、消費者が愛する安全で摩擦のないエクスペリエンスを提供することで、自社の境界を保護できます。
デバイスバインドパスキーの詳細については、Auth0で設定する方法に関する投稿をご覧ください。
次のステップ
パスキーを使用してアプリにパスワードレスを追加していただき、ありがとうございます。さあ、データプライバシーをチェックする準備ができました!顧客の情報を完全に保護し、GDPR、HIPAA、CCPAなどの規制に準拠するには、アプリはユーザーの同意、データ監査、プリファレンスセンターなどの追加機能を提供する必要があります。
次のレシピでは、アプリをデータプライバシーに準拠させるための重要な要素について詳しく説明します。包括的なガイドですべてのレシピを入手するには、クックブックをダウンロードしてください。
