私たちは皆、パスワードが嫌いだ。それは別に驚くべきことではありません。私たちは皆、パスワードが多すぎて管理しきれず、情報漏洩の最大の原因であり、組織に何十億もの損害を与えている!
では、なぜ取り除くのが難しいのだろうか?
ほとんどの場合、最近までこれ以上のものがなかったからだ。パスワード(共有された秘密)は、あらゆるデバイスで共通の認証方法を提供する。しかし、パスワードは単一要素であるため容易に漏洩しやすく、平均90個のパスワードを覚えなければならないデジタル世界では、もはや実用的ではない。固有のセキュリティの弱点とユーザー体験の問題を回避するために、企業はリスクシグナル、OTP、セッションクッキー、その他のアドオン戦略に投資してきた。しかし、結局のところ、漏洩する可能性のある根本的なパスワードが存在し、ユーザーの摩擦を引き起こしている。
良いニュースは、過去5年間で、アイデンティティと認証の仕組みが、ユーザー名とパスワードから暗号キー(別名FIDO)へと全面的にアップグレードされたことだ。これが意味するのは、フィッシング攻撃に対して脆弱な(そしてどちらも摩擦を生む!)2つの弱い要素(例えばパスワードとOTP)を、より便利で同時に安全な強力な多要素アプローチに置き換えることができるということだ。これらの要素とは、1)人々がすでに持っているデバイス(電話、PC、タブレット)であり、それらは現在暗号化されている、2)デバイスによって実行されるユーザー認証(指紋センサー、顔認証、PINなど)である。
FIDOプロトコルは、パスワードに代わる強力な多要素認証を可能にするもので、指のスワイプ、携帯電話のカメラの覗き込み、Windows Hello PINの入力など、非常にユーザーフレンドリーである。ほとんどのユーザーはこのような代替手段を好んでいる。アップルはTouchIDを導入したことで、このような手段を普及させた。ほとんどの企業は、パスワードの摩擦を軽減するために、モバイルアプリに生体認証を導入している。しかし、多くの場合、パスワードは単にキャッシュされるだけで、セキュリティの向上にはつながらない。そして、ユーザーが携帯電話やPCでアプリケーションのウェブ・バージョンにアクセスする際、またパスワードが必要になる。
昨年まで、パスワードに固執する言い訳のひとつは、アップルがまだFIDOに参加していないため、パズルが不完全だというものだった。SafariがFIDOをサポートし、マイクロソフト、グーグル、そしてFirefox Mozillaに加わり、パスワードの廃止を目指すようになったからだ。エコシステム全体でFIDOが採用されたことで、「TouchID」のコンセプトをあらゆるデバイスとチャネルに拡張することが現実的になり、私たちはようやくガムをこすり落とすことができる。そうだろう?課題は、より簡単で、より安全であることは間違いないように思えるが、それは変化であるということだ。デジタルトランスフォーメーションには、機能横断的なサポートが必要だ。各ステークホルダーは、自分たちの組織にとっての価値を理解し、戦略的で新しいアプローチをとることが、戦術的なアドオンと比較してなぜ意味があるのかを理解しなければならない。組織はまた、レガシー・アプローチから新しいパラダイムに移行するための明確なロードマップを持たなければならない。
次回のブログでは、社内の利害関係者に多くのビジネス上のメリットを理解してもらうこと、戦略的アプローチの価値、そしてパスワードレスへの旅に出るためのベストプラクティスについてお話しします。