Image Credit:What the hell are passkeys and why are they suddenly everywhere?
パスキーは、高いセキュリティレベルでアカウントにアクセスでき、スマートフォンのロックを解除するように簡単にアカウントにアクセスできる未来を約束しています。AppleやGoogle、Microsoftなどの大手テック企業がパスキーの導入を発表していることは、多くの人に知られています。完全なパスキーの革命はまだ少し遠いかもしれませんが、近いうちにアカウントの設定を求められるかもしれません。
ユーザー名とパスワードによるログイン手法は1960年代にさかのぼりますが、それ以来、ハッキングされる可能性があります。パスワードは推測されたり、フィッシングの対象になる可能性があります。一方、マルチファクタ認証はしばらくの間、ログイン時にテキストメッセージ、アプリ、ハードウェアキーなどで本人確認を行う方式として解決策のように見えていました。しかし、パスキーの支持者たちは、ログインのセキュリティ問題を解決するためには追加の手続きを行うのではなく、最初のステップを再構築することが必要だと主張しています。
パスキーは、デバイスに安全に保存されるデジタルな認証資格情報です。Shamas氏は、「共有の秘密」と呼ばれるパスワード方式とは異なり、パスキーは使用するオンラインサービスごとに固有の鍵ペアとして作成され、ドメインにバインドされます。したがって、オンラインバンキングのアカウント用にパスキーを作成し、偽のウェブサイトでサインインするよう促された場合、そのパスキーは機能しません。
また、パスキーはフィッシング攻撃を防止します。パスワードやマルチファクタフレーズとは違い、パスキーは提供することができません。Derek Hanson氏は、「フィッシング不可能」とは言えないと述べていますが、確かに現在使用されている一般的な攻撃手法に対しては防御します。少なくとも、ハッカーが侵入するのがより困難で費用もかかるため、ハッカーはより弱いターゲットに移る可能性が高くなります。
ユーザーにとっても利便性が向上します。ほとんど100のパスワードを記憶する必要はなく、パスキーはデバイスに保存され、自動的にサービスに接続されます。スマートフォンのロックを解除するのと同様に、パスキーにログインするにはピンコード、指紋、顔認証などの簡単な認証が必要です。これはあまりにも良いと思えますが、まだまだ分散した状態です。大手企業は最近パスキーを注目していますが、普及には制約があります。
現在、パスキーを使用すると特定のサービスプロバイダーにロックされることがあります。例えば、MacBookに保存されたパスキーでAndroidのウェブサイトにログインすることはできません。これは、これらの企業が顧客をロックしてブランドに忠誠を保つために好む手法です。したがって、政府の産業標準がない場合は、協力が必要です。
しかし、Shamas氏は、パスキーの開発に取り組むために企業がFIDOの業界基準にサインしているため、クロスプラットフォームのアクセス性が向上していると述べています。Googleの広報担当者は、「AppleやGoogle、Microsoftを含む業界全体での熱心な投資は、パスキーテクノロジーへの広範な信念を反映しています。」と述べました。現時点では、Google ChromeはMacとWindowsにしかパスキーを保存していません。
現時点では、ウェブサイトがパスキーログインのオプションを提供している場合は、登録することをお勧めします。特にオンラインバンキングなどの重要なアカウントでは、パスキーへの切り替えを追加の保護層として提供されるまで早めに行うべきです。しかし、パスキーが普及するまでには時間がかかるでしょう。サービスプロバイダーは、消費者が慣れているために引き続きパスワードのオプションを提供することが予想されます。
それまでの間、セキュリティ設定に注意することを忘れないでください。パスキーが利用できない場合、ログイン時のセキュリティリマインダーポップアップを避けるだけでなく、MFAを設定し、パスワードを強力にすることを確認してください。
パスキーは、パスワード不要でアカウントにアクセスできる未来を約束し、より高いセキュリティレベルを提供します。Apple、Google、Microsoftなどの大手テック企業では、パスキーの導入を発表しています。まだ完全なパスキーの革命は遠いかもしれませんが、近いうちにアカウントでの設定を求められるかもしれません。
ログインにおけるユーザー名とパスワードのアプローチは1960年代にさかのぼりますが、その後もハッキングの対象になってきました。パスワードは推測やフィッシングの対象となります。一定の強度を持つ複雑なパスワードを設定しない場合に特に問題が生じます。しばらくの間、マルチファクタ認証が解決策とされてきました。ログイン時にテキストメッセージ、アプリ、ハードウェアキーなどで身元を確認する方法です。しかし、パスキーの支持者は、ログインのセキュリティ問題を解決するには、追加のプロセスを追加するのではなく、最初のステップを再構築することが必要と主張しています。
FIDO AllianceのマーケティングシニアディレクターであるMegan Shamasは、「これまでで最もパスワードを廃止するために拡大可能な方法」と述べています。パスキーは、デバイスに安全に保存されたデジタル認証資格情報です。Shamasが「共有秘密」と呼ぶパスワードの方法ではなく、パスキーは使用するオンラインサービスごとに固有のキーペアであり、ドメインにバインドされています。したがって、オンラインバンキングのアカウントに1つ作成し、スプーフィングされたウェブサイトがサインインを要求した場合、パスキーは機能しません。
また、パスワードやMFAフレーズのように、パスキーを提供することはフィッシング攻撃を防ぐこともできます。 Derek Hanson、セキュリティ認証会社Yubicoのソリューションアーキテクチャ・アライアンス担当副社長は「完全にフィッシング攻撃を防ぐわけではありませんが、現在の一般的な攻撃手段を阻止します。少なくとも、ハッカーの進入をより高価かつ困難にするため、ハッカーはより弱いターゲットに移る可能性が高くなります。
ユーザーにとっても簡単に使用できるように設計されています。ほぼ100以上のパスワードを管理しようとする代わりに、パスキーはデバイスに保存され、自動的にサービスに接続します。携帯電話のロックを解除するのと似たような操作で、パスワード、指紋、顔のスキャンなどの簡単な認証情報を入力する必要があります。それはあまりにもうまくいくように思えますが、現時点ではまだ分散した状態です。大手企業は最近パスキーを取り上げていますが、普及を妨げる要因としているかもしれません。
現在、パスキーの使用は特定のサービスプロバイダーに縛られているそうです。ネブラスカ大学オマハ校の講師であるSayonnha Mandal博士によれば、たとえばMacBookに保存されているパスキーを使用してAndroid携帯電話でウェブサイトにログインすることはできません。これは、これらの企業が自社のブランドに忠実な顧客を続けさせるために好んで行うロックインの一種です。したがって、広範な利用を達成するには協力が必要であり、「政府の産業標準が、企業が義務的に従わなければならない状況がない限り、それ自体では実現できないと思います」とMandalは述べています。
ただし、Shamasは、会社がFIDOのパスキー開発の業界標準に署名することにより、クロスプラットフォームの利用が進んでいると述べています。Googleのスポークスパーソンは「(Apple、Google、Microsoftを含む)業界全体の深い投資は、パスキー技術への広範な信念を示しています」と述べています。発表時点では、Google ChromeはMacとWindowsのみでパスキーをローカルデバイスに保存しています。
現時点では、ウェブサイトがパスキーログインのオプションを提供している場合は、可能な限り登録するべきです。特にオンラインバンキングなどの重要なアカウントでは、提供された場合にはパスキーに切り替えて追加の保護層を提供する必要があります、とMandalは述べています。ただし、パスキーが普及するまでには時間がかかるでしょう。サービスは引き続きパスワードのオプションを提供する可能性があります。それは消費者が慣れているからですし、パスキーはまだ十分なサポートを受けていません。
その間、セキュリティ設定をしっかりと管理することを忘れないでください。パスキーが利用できない場合は、ログイン時に現れるセキュリティリマインダーポップアップを無視するのではなく、マルチファクタ認証が設定されていることやパスワードが強固であることを確認する必要があります。
引用元記事はこちらWhat the hell are passkeys and why are they suddenly everywhere?