キーベースの多要素認証は、データ、ネットワーク、またはユーザーアカウントへのアクセスを保護する最良の方法の1つです。1つのパスワードが解読されれば全てのアクセスが許可されるシングルパスワードシステムとは異なり、多要素認証は、完全なアクセスのために複数の構成要素が存在することを必要とし、フィッシングや他の形態のID窃盗が成功する可能性を劇的に減らします。
多要素認証は、FIDOプロトコルとキーペア技術を使用することで、従来のシングルパスワードによるセキュリティシステムよりも、より速く、より簡単に、より安全に行うことができます。
FIDOとは何か?
FIDOはFast Identity Onlineの略。FIDOは、従来の知識ベースのシステム(ユーザー名/パスワードなど)への依存を排除するため、システムや相互への統合が容易な暗号セキュリティ標準の確立に取り組む企業の世界的な連合体である。FIDOプロトコルは、指紋、音声、顔認識などのキーベースの生体認証、セキュリティ・トークン、NFCカード、その他のキーベースの多要素認証など、さまざまなセキュリティ手段を取り入れている。
業界標準が確立され、遵守されることで、さまざまなセキュリティ機器やソフトウェアが互換性を持ち、相互運用できるようになる。
キーペアとは何か?
キー・ペアは、2つのデジタル「キー」を作成するセキュリティ対策であり、これを一緒に使用する(「キー・ペア」)ことで、フィッシングに耐性のある方法でアカウント・アクセスを安全に許可するために使用される。公開鍵」と「秘密鍵」があり、サービスへのアクセスやデータの読み取りを成功させるには、その両方が必要となる。公開鍵は、ユーザー・アカウントがアクセスを許可する(暗号化機能を含むサービスに認証する)ために使用するもので、そのまま受信または理解できる生データを読み取り不可能な形式に暗号化する。
秘密鍵は、デバイス上のユーザーがデータを復号し、再び読み取り可能にするために、提示と検証のために使用するものである。静止状態のデータをシステムから読み取り可能にし、サービスへのアクセスを許可するためには、両方の鍵が存在しなければならない。
FIDOプロトコルのもとでは、ユーザーは通常の登録手続きを経て新しいユーザーアカウントを作成し、その間にシステムがアカウント用の公開鍵と秘密鍵のペアを作成する。登録が完了すると、ユーザーが鍵ペアで保護されたアカウントにアクセスしたい場合はいつでも、公開鍵を必要とするログインが必要となり、その後、暗号化を解読し、アカウントとアカウント内で保護されたデータにアクセスするために秘密鍵を提供する必要があります。
これは、ユーザー認証情報を盗み、「乗っ取られた」アカウントにアクセスするために使用される、従来のフィッシング技術や中間者攻撃に対するはるかに強力な保護形態である。2つの暗号鍵を必要とすることで、たとえ悪者が「アカウント」の公開鍵を盗んだとしても、秘密鍵がなければアカウントのロックを解除することも、データにアクセスすることもできないため、それ以上進むことはできない。
FIDOキー・ペアと多要素認証を使用して、サービスやデータにアクセスするデバイスのユーザーを保護することに興味がある方は、こちらをお読みください。