りんごと グーグル と マイクロソフト 彼らは今週、パスワードを完全に回避する認証アプローチをまもなくサポートすることを発表しました。代わりに、ユーザーはスマートフォンのロックを解除するだけでWebサイトやオンラインサービスにサインインできます。 専門家は、この変更は多くの種類のフィッシング攻撃を打ち負かし、インターネットユーザーの全体的なパスワード負担を軽減するのに役立つはずだと述べていますが、パスワードなしの本当の未来はまだほとんどのWebサイトから遠く離れている可能性があると警告しています。
テクノロジーの巨人は、パスワードを置き換えるための業界主導の取り組みの一部です。パスワードは、簡単に忘れられたり、マルウェアやフィッシングスキームによって頻繁に盗まれたり、企業のデータ侵害の結果としてオンラインで漏洩して販売されたりします。
Apple、Google、Microsoftは、FIDO( “Fast Identity Online”)アライアンスによって確立されたパスワードなしのログイン標準に最も積極的に貢献しています。 WorldWideWebコンソーシアム (W3C)、過去10年間に数百のテクノロジー企業と協力して、複数のブラウザーとオペレーティングシステムで同じように機能する新しいログイン標準を開発してきたグループ。
FIDO Allianceによると、ユーザーは、デバイスのPIN、指紋やフェイススキャンなどの生体認証など、デバイスのロックを解除するために毎日複数回行うのと同じ手順でWebサイトにログインできます。
「この新しいアプローチはフィッシングから保護し、SMS経由で送信されるワンタイムパスコードなどの従来の多要素パスワードやテクノロジーと比較して、ログインを根本的に安全にします」と連合は5月5日に書いています。
サンパススリニバス新しいシステムでは、オンラインでアカウントを開くために使用される「パスキー」と呼ばれるFIDOクレデンシャルが携帯電話に保存されると、Googleのセキュリティ認証ディレクター兼FIDOAllianceの社長は述べています。
「パスキーは公開鍵暗号に基づいており、電話のロックを解除したときにのみオンラインアカウントに表示されるため、ログインがより安全になります」とSrinivas氏は書いています。 「PCでWebサイトにログインするには、近くにある電話だけが必要です。アクセスするには、ロックを解除する必要があります。一度アクセスすると、電話は不要になり、ロックを解除するとログインできます。あなたのPC。」
好き ZDNet ノートApple、Google、およびMicrosoftは、これらのパスワードなしの標準( “Sign in with Google”など)をすでにサポートしていますが、ユーザーがパスワードなしの機能を使用するには、各Webサイトでサインインする必要があります。 この新しいシステムでは、ユーザーは多くのデバイスでパスキーに自動的にアクセスでき(各アカウントを再登録する必要はありません)、モバイルデバイスを使用して近くのデバイスでアプリやWebサイトにログインできます。
ヨハネス・ウルリッヒディーン検索 サンス工科大学この発表では、「認証の課題を解決するための最も有望な取り組み」と呼ばれていました。
「この規格の最も重要な部分は、ユーザーが新しいデバイスを購入する必要がないことですが、代わりに、既に所有していてオーセンティケーターとしての使用方法を知っているデバイスを使用できます」とUlrich氏は述べています。
スティーブ・ベロビン、コロンビア大学および初期のインターネットのコンピュータサイエンスの教授 研究者およびパイオニアは、パスワードなしの取り組みを認証の「驚異的な進歩」と説明しましたが、多くのWebサイトが追いつくには時間がかかりすぎると述べました。
新しいパスワードなしの認証システムで潜在的にトリッキーなシナリオの1つは、誰かがモバイルデバイスを紛失したり、電話が壊れてiCloudパスワードを思い出せなくなったりした場合に起こることです。
「追加のデバイスを購入できない人や、壊れたデバイスや盗まれたデバイスを簡単に交換できない人のことを心配しています」とBelovin氏は述べています。 「クラウドアカウントのパスワードを忘れた場合の回復が心配です。」
グーグル 言う つまり、携帯電話を紛失した場合でも、「パスキーはクラウドバックアップから新しい携帯電話に安全に同期されるため、古いデバイスが中断したところから再開できます。」
AppleとMicrosoftには、これらのプラットフォームを使用している顧客が紛失したモバイルデバイスから回復するために使用できるクラウドバックアップソリューションもあります。 しかし、Belovin氏は、これらのクラウドシステムがどれだけ安全に管理されているかに大きく依存すると述べました。
「許可なく別のデバイスの公開鍵をアカウントに追加するのは簡単ですか?」 ベロビンは尋ねた。 「彼らのプロトコルはそれを不可能にしていると思うが、他の人はそれに同意しない。」
ニコラスウィーバーコンピュータサイエンス学科の講師 カリフォルニア大学バークレー校彼は、「携帯電話とパスワードを紛失した」シナリオの回復メカニズムはWebサイトにまだあるはずだと述べ、「安全に行うのは非常に難しい問題であり、現在のシステムの最大の弱点の1つです」と述べています。
「パスワードを忘れて携帯電話を紛失し、なんとか取り戻すことができれば、それは攻撃者にとって大きな標的になります」とウィーバー氏は電子メールで述べています。 「パスワードを忘れて電話をなくしてできなくなった場合、ログインに使用した認証コードを失ってしまいます。これが最後になるはずです。Appleにはそれをサポートするインフラストラクチャ(iCloudキーチェーン)がありますが、それはGoogleがそうするかどうかは明確ではありません。」
ただし、FIDOの一般的なアプローチは、セキュリティと使いやすさの両方を向上させるための優れたツールであると彼は言いました。
「それは本当に良い前進であり、それを見てうれしい」とウィーバーは言った。 「電話の所有者の強力な電話認証(適切なパスコードを持っている場合)を活用することは非常にクールです。少なくともiPhoneの場合、これを処理するのはポケットセーフであり、安全であるため、電話の侵害に対してもこれを堅牢にすることができます。ポケットはホストのOSを信頼していません。」
技術の巨人は、新しいパスワードレス機能が「来年中に」Apple、Google、Microsoftのプラットフォーム全体で有効になると述べた。 しかし専門家は、小規模なWeb宛先がこのテクノロジーを採用し、パスワードを完全に放棄するまでには、さらに数年かかる可能性があると述べています。
最近の調査によると、パスワードを再利用または再利用している人が多すぎて(同じパスワードをわずかに変更している)、これらの資格情報が最終的にデータ侵害にさらされると、アカウントが乗っ取られるリスクがあります。 a 報告する サイバーセキュリティ会社の3月 SpyCloud ユーザーの64%が複数のアカウントのパスワードを再利用しており、以前の違反で侵害された資格情報の70%がまだ使用されていることがわかりました。
FIDOのアプローチに関する2022年3月に利用可能なホワイトドキュメント ここ (PDF)。 それに対する質問と回答があります ここ。
“Analyst. Television trailblazer. Bacon fanatic. Internet fanatic. Lifetime beer expert. Web enthusiast. Twitter fanatic.”
More Stories
PS5 Proは数週間以内に発表されるのは確かのようだ
リークにより、疑惑のPS5 Proデバイスの名前とデザインが明らかに
Apple、最新の iOS アップデートで写真内の AI オブジェクト除去を導入