全2980文字
米マイクロソフトは2021年9月、今まで法人向けに限定していたパスワードレス認証を、個人を含むすべてのユーザーが無料で使えるようになったと発表した。指紋認証や顔認証などを使ったログイン方法「Windows Hello」や組織向けに提供されている「Windows Hello for Business」、モバイルデバイス用の認証アプリ「Microsoft Authenticator」などを使うことで、パスワードを入力することなくMicrosoftのサービスにログインできる。同社のアカウントからパスワードそのものを削除することも可能だ。長年にわたって使われ続けたパスワードから、完全に解放される時が近づいているのだ。
そこで今回はパスワードレス認証について解説する。
パスワードが危険といわれる理由
そもそも認証とは、サービスにアクセスしようとする人物が、アクセスする資格を持つ本人であること(本人性)を確認するための手続きだ。パスワード認証は、本人しか知り得ないはずのパスワードを入力させることで本人性を確認するというものだ(図1)。パスワード認証は特別なソフトウエアやハードウエアを使うことなく容易に実装できることから、コンピューターにおける主要な認証方式として広く使われ続けてきた。
図1●パスワードで利用者本人かどうかを確認
パスワード認証では、あらかじめ登録したパスワードを知っているかどうかで、利用者本人かどうかを確認する。
[画像のクリックで拡大表示]
だがその普及度合いに反し、パスワード認証はしばしばセキュリティー上の問題を引き起こしてきた。パスワード認証が危険な理由は大きく分けて2つある(図2)。1つは利用者の記憶に頼る認証方式である点だ。利用者は覚えやすいように、攻撃者が簡単に推測できるよう単純なパスワードを設定してしまう。パスワードを付箋紙などにメモしたり、同じパスワードを使い回したりする場合も多い。これらはパスワードを破られる原因となる。
図2●パスワード認証の問題点
パスワード認証の問題点は大きく2つ。利用者の記憶に頼る点と、サービス側でパスワードを保持する点。前者により単純なパスワードが設定されたり、パスワードがメモされたりする。後者により、パスワードが盗聴されたり漏洩したりする恐れがある。
[画像のクリックで拡大表示]
もう1つはサービス側で認証情報を保持する点だ。パスワードさえ正しければ認証できるため、なりすましが可能になったり、サービス側が保管するパスワードが漏洩したりする危険がある。パスワードはネットワークを通じてサービス側に送られるため、盗聴される恐れもある。
情報処理推進機構(IPA▼)の「情報セキュリティ10大脅威▼2021」でも、パスワードを不正に利用した「インターネット上のサービスへの不正ログイン」は、組織における脅威の8位にランクインしており、2020年の16位から大幅に順位を上げている。間接的にパスワードの不正利用が絡む脅威も複数ランクインし、その影響の大きさがうかがえる(図3)。
図3●パスワード関連の脅威がランクイン
情報処理推進機構(IPA)の「情報セキュリティ10大脅威」(https://www.ipa.go.jp/security/vuln/10threats2021.html)には、パスワード認証が関連する脅威が複数ランクインしている。
[画像のクリックで拡大表示]
からの記事と詳細 ( 「パスワードレス時代」が到来 - ITpro )
https://ift.tt/3w4rv06
No comments:
Post a Comment