この記事は機械翻訳されました。
パスワードをタップしたり、セキュリティの質問に答えたり、知識ベースの秘密を教えたりせずに、コンピューターにログインすることを想像してみてください。あなたはちょうどパスワードレス認証システムを思い描いていました。
多くのセキュリティ専門家にとって、パスワードレスの未来は理想的です。パスワードの作成や記憶の負担を軽減できれば、IT部門がつながりやすくなると思います。 また、複数のサイトで同じ認証情報をコピー/貼り付けることで、私たちのシステムを破壊することはありません。
しかし、パスワードレスシステムには、ユーザーのアイテムが盗まれたりハッキングされたりした場合のアクセスが困難になるなど、重大な欠点があります。パスワードレスがあなたとあなたの組織にとって正しいかどうかを判断する際には、考慮すべき多くの要因があります。
パスワードレス認証とは? メリットとセキュリティの問題
世の中のほとんどすべての会社概要は、ハッキング攻撃を受けるリスクにさらされています。 真の信奉者にとって、パスワードレス認証は 強化方法です。ITを使用すると、ハッカーが資産にアクセスするために使用する主要な手法の1つを排除できます。
一般的なシステムでは、ユーザーに次のものを作成するように依頼します。
- ユーザー名。 組織内の全員に対して同様のシステム (last_initial.first_name など) を特定できます。または、全員が自分で考え出すようにすることもできます。
- パスワード。 数字と記号を含む10+文字の長さのパスワードを作成するように人々に依頼することができます。そして、定期的に新しいものを作るように頼むかもしれません。
- セキュリティプロセス。 ユーザー名とパスワードを忘れた場合に、アカウントへのアクセスを回復するために人々が答えなければならない一連の質問があるかもしれません。
一部の会社概要 は、さらに多くのことを行い、 多要素認証 (MFA) を使用します。 この方法では、電話に届くコードをタップするか、指紋スキャンを行うことで、人々に身元を確認するように依頼します。 MFAでは、これらの二次要因はパスワードに取って代わるものではありません。彼らはそれらを強化します。
MFA は、 パスワードレスの世界への第一歩と考えることができます。しかし、思い切って行動すれば、このようなシステムだけでユーザーを確認することになります。パスワードは必要ありません。
パスワードレス認証はどのように機能しますか?
ユーザーは、最も強力で最適なパスワードの組み合わせを持っていると信じているかもしれません。しかし、彼らのデータは簡単に盗まれます。たとえば、2014年には、ハッカーは 12億のユーザー名とパスワードの組み合わせを盗みました。パスワードを安全に保管しても、ハッカーは セキュリティの輪を飛び越 えてデータを解読するのに数分しかかからないため、役に立ちません。パスワードレス認証は、これらのリスクを軽減します。
このようなシステムは、以下に依存します。
- 暗号化キー。1つのキーは、登録時にサーバー、アプリケーション(アプリケーション)、またはWebサイトに提供されます。 プライベートバージョンは、その人のデバイスに残ります。
- 要因。 ユーザーが持っているもの(携帯電話やスマートカードなど)やユーザーが持っているもの(指紋や網膜スキャンなど)は、エントリーのロックを解除します。
初回のご来館には登録が必要です。たとえば、人は明確な網膜スキャンを提供する必要があるかもしれません。または、電話をアカウントにリンクする必要がある場合もあります。しかし、その作業が完了すると、その人はいつでもシステムに簡単にアクセスできます。
その人が確認済みのデバイスに戻るたびに、何らかの認証フォームが必要になる場合があります。 ただし、システムチェックをまったく行わずに、登録済みデバイスでの訪問のたびにその人を認識するようにシステムを設定することもできます。
パスワードレスログインのリスクと利点
伝統から離れて未来に進むべきでしょうか?すべての会社概要 この質問に対する個別の回答があります。 しかし、長所と短所に目を通すことは、賢明な選択をするのに役立つかもしれません。
アソシエイト with パスワードレス ログインの利点は次のとおりです。
- コストIT チームは、パスワードの問題やアソシエイトのセキュリティリスクに対処するために 、毎年何百時間も 費やしています。 それらを排除することで、チームは他の重要なタスクに取り組むことができます。
- カスタマーエクスペリエンス. パスワードは覚えにくく、紛失しやすいものです。これらを排除することで、顧客の摩擦の原因がなくなり、会社概要 の成長に役立つ可能性があります。
- 安全。 前述したように、パスワードは簡単に盗まれ、解読されます。それらを削除することは、リソースが保護されたままであることを保証することを意味します。
パスワードレス world を持つアソシエイトの制限は次のとおりです。
- ノウハウ。 ITチームは、パスワードを必要としない最先端のシステムを開発する準備ができている必要があります。一部のスタッフはトレーニングが必要な場合があります。
- 安全。 パスワードレスシステム(電話など)を備えたデバイスアソシエイトを紛失した場合、泥棒はすべてのファイルとサーバーにアクセスできます。 そのアクセスをブロックすることは非常に困難です。一部のシステムでは、 ユーザー名/パスワードを入力すると制御を取り戻すことができるため、パスワードレスシステムの利点は無意味になります。
知っていて信頼できるシステムから、聞いたこともなく、テストもしたことのないシステムに変更するのは、神経をすり減らすものです。チームで働き、ストレスを軽減しましょう。Oktaでは、大小さまざまな会社概要のために強力で安全なシステムを構築してきましたが、それらがどのように機能するかをお伝えしたいと思います。詳細については、お問い合わせください。
参考文献
パスワードレス認証の時代。(2019年3月)。フォーブス。
強力なMFA:パスワードレスへの道の最初の目的地。(2020年7月)。クラウドセキュリティアライアンス。
パスワードのハッキングは12億のアカウントに影響を与え、より危険にさらされています。(2014年8月)。CBCの。
ハッキングの構造:複雑なパスワードでも簡単に解読できます。(2013年5月)。ワイヤード。
パスワードは徐々に過去のものになりつつあります。(2017年5月)。起業家。
パスワードレスの世界にたどり着くにはどうすればよいでしょうか?一歩ずつ。(2019年11月)Security Week)
