パスワードレス認証とは メリットとセキュリティの問題

Teju Shyamsundar, August 30, 2019

パスワードレス認証とは、ユーザーにパスワードの入力を要求せずに、ユーザーを検証する認証方法です。パスワードレス認証は、入力するパスワードがないため、フィッシングの被害を受ける可能性が低くなるといったメリットがあります。ここでは、近年注目を集めているパスワードレス認証とは何か、パスワードがもたらすユーザビリティとセキュリティの問題、パスワードレス認証のメリットについて説明します。

パスワードレス認証とは?

パスワードレス認証とは、ユーザーにパスワードの入力を要求せずに、ユーザーを検証する方法です。

ユーザーのアイデンティティを証明するには、代わりに、所有要素(モバイル認証アプリ、ハードウェアトークン、ワンタイムOTP)、バイオメトリクス、知識要素(PIN、パスフレーズなど)といった代替要素を使用することができます。

iOSのFaceIDを使用したアプリへのログイン、Androidの指紋認証、Windows Hello経由でのノートPCへのログインのような、何らかのパスワードレス認証をすでに日常的に使用している人も多いでしょう。では、パスワードレス認証への注目度が高まっているのはなぜでしょうか。

従来のパスワードの問題

最近、以下のような理由から、認証手段としてのパスワードに対して問題意識が高まっています。

パスワードはユーザーエクスペリエンスを損なう

米国の平均的なインターネットユーザーの場合、パスワードを必要とするオンラインアカウントの所有数が150に上っており、この数は2022年までに300に増加すると予測されています。これらパスワードなどの資格情報を常に把握することは、平均的なユーザーにとって大きな問題となっています。また、パスワードに要求される複雑さがアプリケーションによって異なることが多いため、問題がさらに悪化しています。

皆さんも、以下のようなパスワード要件を目にしたことがあるのではないでしょうか。

別のツールの要件はまったく異なっています。

人間は機械のように動くことはできません。また、時間が経てば、所有するアカウントのパスワードをすべて記憶している確率は低下していきます。これによってユーザーエクスペリエンスと生産性が著しく劣化する可能性があります。

英国、フランス、オランダの労働者4,013人から収集したデータを分析したOktaのPasswordless Futureレポートは、パスワードの使用に対して苛立ったり厄介だと感じたりしているユーザーが50%近くに上ると報告しています。さらに、パスワードを忘れた際に、19%が作業の遅れを経験し、37%がアカウントから完全にロックアウトされた事態を経験しています。このようなことから従来のパスワード認証は、理想的なユーザーエクスペリエンスであるとは言えません。

パスワードはユーザーセキュリティを阻害する

皮肉なことに、パスワードは実際に、ユーザーセキュリティを損ねる影響を及ぼす可能性があります。

  • パスワードは、アイデンティティ攻撃の一般的なターゲットとなっています。Verizonが2018年に発表したデータ侵害調査レポートによると、ハッキングに関連する侵害の81%は、パスワードの強度が低い、パスワードが盗まれた、またはパスワードが再利用されたことに起因していました。

    中間者(MITM)攻撃やマンインザブラウザ(MITB)攻撃のような脅威は、ユーザーを利用するために、ログイン画面を模倣し、パスワードの入力をユーザーに促します。サービスプロバイダーは、パスワードを要求することによって、これらの脅威によりユーザーに生じるリスクを意図せず高めているのです。

  • パスワードの再利用が横行し、それを発端として被害が拡大するリスクが高まります。Oktaのパスワード調査では、調査対象者の34%が複数のアカウントで同じパスワードを使用していると回答しています。しかし、Marriott International(3億8,300万人のユーザーに影響)やMyFitnessPal(1億5,000万人のユーザーに影響)のような大規模なデータ侵害が発生した際には、ダークウェブで犯罪者が侵害されたアカウントのユーザー名とパスワードのデータを入手することがしばしばあります。

    これにより、侵害されたユーザーに対してクレデンシャルスタッフィング攻撃を実行し、大量の侵害された認証情報を他のアカウントで大規模に利用して、他のアプリやサービスにアクセスできるか確認できるようになります。したがって、ユーザーがパスワードを再利用することで、クレデンシャルスタッフィングのリスクが大幅に高くなります。

侵害が発生すると、壊滅的な結果がもたらされかねません。窃取されたレコードの平均コストは148ドルであり、データ侵害によって発生する合計コストは平均386万ドルに上ります。

パスワードレス認証に移行するメリット

パスワードレス認証は、セキュリティとユーザビリティにおいて以下のような大きなメリットがあるため、採用が拡大しています。

  • 脅威に耐性のあるログインのオプション:パスワードレス認証は、入力するパスワードがないため、フィッシングの被害を受ける可能性が低くなります。これは、ユーザーが中間者攻撃、マンインザブラウザ攻撃、その他のパスワードを使用するリプレイ攻撃から保護されることを意味します。
  • 管理者の可視性と制御:パスワードは、再利用、フィッシング、窃取の対象となります。パスワードレス認証を実装することで、管理者は組織のセキュリティを制御し、ユーザーごとに使用される要素を可視化できるようになります。
  • 拡張性:モバイルデバイス(生体認証、モバイル認証アプリ)やノートPC(Windows Hello、MacOSの指紋認証)など、エンドユーザーが持っている要素を利用するパスワードレスのエクスペリエンスを提供することは、従業員または顧客としてのユーザーの拡張が容易になることを意味します。
  • 総所有コストの削減:パスワードは、常に監視と保守が必要です(特に、セルフサービスのパスワードリセットを有効にしていない場合)。パスワードレス認証は、パスワードを排除し、登録した要素を使用してエンドユーザーが自分でアカウントを回復できるようにすることで、サポートチケットを削減できます。
  • 優れたユーザーエクスペリエンス:生産性を維持するために、ユーザーは複雑なパスワードの組み合わせを覚えて更新する必要がなくなります。

もっと詳しく知る

今後も、パスワードレス認証の導入に関連する記事を投稿する予定です。また、ホワイトペーパー「Moving Beyond Passwords」でも詳しい情報をご確認いただけます。