オンラインサービスにおける多要素認証は、「いつ」ではなく「どのように」の問題である
オンライン・サービスにアクセスするデバイスの普及により、世界のデジタル接続性が飛躍的に高まるにつれ、ワイヤレス・インターネットにアクセスできるデバイスであれば、場所を問わず、世界中のあらゆるデータ、ソフトウェア、サービスにアクセスできるようになった。これにより、自宅でノートパソコンで仕事を始め、オフィスでデスクトップで受け取り、レストランでスマートフォンを使ってサインオフすることが可能になる。
しかし、オンライン・サービスの利便性は、脆弱性の増大を意味する。いつでも、どこでも、どんなデバイスでも、どんなネットワークでも」アクセスできることが、ヨーロッパなどの地域がオンライン・サービスにおける多要素認証の実装を義務化する方向に進んでいる理由である。
パスワード問題
パスワードを必要とする今日のレガシー知識ベース・セキュリティおよびアクセス(KBA)システムは、セキュリティおよび認証インフラストラクチャのコスト以上に、主要なアクセス方法としてパスワードを提供するための追加コストのない成熟した展開経路です。残念ながら、レガシーKBAのセキュリティ手法は、主にオンライン・サービスにアクセスするための単一のパスワードに依存しており、サイバー犯罪者の攻撃対象領域を拡大する一方で、重大な脆弱性を露呈しています。
効果的な、あるいは「強力な」パスワードは、英数字のランダムな文字列で、覚えにくく、推測が不可能なものです。そのため、多くの人は覚えやすく、推測されやすく盗みやすい「簡単な」パスワードに頼ることが多い。
パスワードの脆弱性がオンラインサービスにまで拡大されると、正規のパスワードを盗んでしまえば、どこでも誰でも、どんなデバイスでもオンライン情報にアクセスできるようになる。盗まれた、あるいはフィッシングされたユーザー認証情報によってアカウントが乗っ取られた場合、KBAベースのオンラインサービスの利便性は、巨大な負債となる。
多要素認証のメリット
キーベースの多要素認証(MFA)は、パスワードの必要性だけでなく、さらなるチェックを追加します。キー・ベースの多要素認証は、レガシー・セキュリティ、ID、および認証システムを、最新のパスワードレスID認証に完全に置き換えることができます。顔、声、拇印などのキーベースのバイオメトリクスは、ユーザーのデバイス内の非対称暗号化秘密鍵によって保護され有効化されている場合、他人に盗まれることはありません。暗号化された USB キーのような他のメカニズムを使用して、USB キーの存在など、パスワー ドの横に追加のチェックを要求したり、電話のような別のデバイスに追加のテキスト/SMS メッセー ジを送信して 2 番目のコードを入力したりすることで、パスワードを強化することができる。
本人確認と認証に複数の要件を導入することで、オンライン・サービスは、誰かが正当なパスワードとユーザー・クレデンシャルを持っている場合に脆弱性が少なくなる。
このため、欧州連合(EU)のようなフェデレーションや、グーグルのような大手テック企業でさえ、キーベースの多要素認証をより広範に導入している。適切な統合を行うことで、MFAはパスワードのように推測されたり盗まれたりすることがないため、より高いセキュリティを提供する一方で、わかりにくく使いにくいパスワードよりも迅速かつ簡単に使用することができる。より多くの選択肢を提供し、おそらくより重要なこととして、これらの選択肢が便利で使いやすいことを保証することで、キーベースの多要素認証は、登録、ログイン、さらには支払い処理中のユーザーの摩擦を劇的に減らしながら、オンラインサービスをこれまで以上に安全にすることができます。
FIDOプロトコルを使用し、最新の鍵ベースのパスワードレス認証システムとゼロトラスト運用環境に移行することに興味がある方は、こちらをお読みください。