ロルフ・リンデマン博士とFIDOアライアンスは、2024年7月15日午後1時25分から1時45分まで、ミュンヘンでパスキーに関する包括的なセミナーを開催します。このセミナーでは、パスワードレス技術の現状、パスキーの仕組み、メリット、ケーススタディに関する詳細なディスカッション、自動車や決済のユースケースを含む各分野における実践的な実装戦略や留意点について解説します。
参加者はまた、オープンな質疑応答やネットワーキングを通じて、現在FIDO技術を導入している人々と直接交流する機会もあり、さらに、デモを見たり、パスキーの導入を前進させるのに役立つ専門家に会う機会もある。
European Identity and Cloud Conference 2024が6月4日から7日までドイツのベルリンで開催されます。7日にはNok Nokのロルフ・リンデマンが認証革命とパスキーとIDウォレットの融合について語ります。
Could we ask for a better analogy? This week’s blockbuster premier is “Mission Impossible – Dead Reckoning Part One” with the always entertaining Tom Cruise. His character Ethan Hunt and the IMF must track down a dangerous weapon before it falls into the wrong hands. So too are the founders of the FIDO Alliance like Tom Cruise leaping tall buildings and racing through narrow alleyways to protect against “dangerous hackers” looking to get their hands on your passwords!
This week’s Cyber Hero is a little like Tom Cruise – Rolf Lindemann of Nok Nok – dashing and swashbuckling. Rolf has been there since the inception of the FIDO Alliance. Hear in his own words how the small group of people tackled one of the biggest problems still in the world of computing.
Imagine a group of individuals standing on the beach looking out at the ocean and being told you need to boil all the water. This is what it often felt like when the original founders of the FIDO specification and the FIDO Alliance went through the process of deciding where to begin to replace passwords. They all knew that no one company or person could solve the problem of weak, phishable passwords. But they knew something had to be done as the bandaids being applied to try to strengthen passwords were not working as $100s of millions of dollars were being lost to cybercriminals everyday.
Listen to Rolf’s full podcast episode from earlier this week and subscribe to our blog to stay up to date on all the comics and podcasts premiering this summer in our Cyber Hero Origins series!
New technologies often enable new business models. That is not a new observation. The latest new technology is (or more precisely the latest technological break-through has been made using) Artificial Intelligence or “AI”. Whenever the first signs of such new business models are visible, they trigger discussions around potential benefits and threats of the new technologies. The latest discussion that caught my attention was the potential (mis-)use of AI for running large scale attacks. I think it is worth putting that in perspective, because there is an underlying pattern here. If that catches your attention, you are invited to follow me…
Years back, the internet brought us search engines that made information available in an instant. To collect and keep updated all that information is an enormous and expensive effort (fixed cost), but it pays off since the cost per query is negligible but the revenue per search generates (advertising) revenue [1]. This is typically called a scalable business model [2].
First phase of scalable attacks. What works “for good” often also works “for bad”, meaning that people with bad intentions can create scalable business models based on scalable attacks. We have seen those already. Back in 2013, hundreds of millions of passwords were stolen [3] adding up to more than a billion stolen passwords at that time [4]. In some way that was the first phase of scalable attacks. Those were focused on authenticating returning users. Nok Nok was one of the founding members of the FIDO Alliance that published FIDO Authentication specifications which protect against scalable attacks [5] [6] and hence brings robust security to authentication.
つまり、母親の旧姓、初めて飼ったペットの名前、初めて買った車のモデル、社会保障番号などを尋ね、それらの質問に正しく答えられるのは自分だけだと思い込むのだ。 残念なことに、インターネット上の検索エンジン(上記参照)は、しばしばそのような質問の答えを見つけることができるため、攻撃者がユーザーの代わりに新しいアカウントを作成することが容易になっている。 この種の情報はどの当事者にとっても秘密とはみなされず、結果として頻繁に共有されていたため、これは本当に驚くべきことではない。 本人確認が本質的に破られる その結果、連邦金融機関審査委員会(FFIEC)は、ID 検証は一般に知識ベースの質問のみに依存し てはならないと述べた[8]。 文書中心の ID 証明は、この攻撃への対応として発展した[9]。 これは、ユーザーが自分の写真 ID と顔をスキャンし、リモート・サービスにそれらが一致することを検証させることを意味する。
Third phase of scalable attacks. When your mom calls you on the phone, how do you know it is her? First, you might see her phone number in the display of your phone. Second, you will recognize her voice, and third, during the call you will recognize the way she interacts with you. Now, maybe there is a number four: you will recognize her face when she uses a video call. So that makes four independent methods – that looks pretty secure. Maybe let’s not rely on the phone number as we know about the “Caller ID” spoofing attacks [10] – yet another method lacking robust security: the Caller ID is not cryptographically tied to the phone line.
では、彼女の声は? ここでAIの出番だ。 DALL-E[11]について聞いたことがあるかもしれないが、これは大規模言語モデルを使ったエンジンで、あなたの指示(とトレーニングに使われた何億もの画像)に基づいて画像を作成する。 VALL-Eと呼ばれる同様のエンジンがあり、これはわずか3秒間の音声で訓練された後、誰の声でもシミュレートする[12]。 この技術がボンド映画[13]で使われているのを初めて見たとき、私はこれを「SF」だと思ったが、今では現実のものとなり、ダークネット上で誰でも簡単に利用できるようになるかもしれない。
What about mom’s face video? The publicly used term for that is “Deepfake”. There are very convincing examples available on the internet [14]. The Chaos Computer Club (CCC), Europe’s largest association of hackers, demonstrated how to attack a prominent document-centric identity proofing service using such an attack [15]. Again, these types of tools might soon be easily available to anyone on the darknet (or already are, but I have not checked).
So, the only security method that remains is the way she interacts with you. I am sure this interaction does not change that frequently, so someone observing it once will likely be able to replicate it using the tools mentioned above. Again, neither my voice nor a video recording of me are considered a secret. They are often even available on the internet. So methods that are only secure if no one can replicate such public information at the right time are not robust.
What are the “lessons learned” here? When it comes to security that is robust against scalable attacks, we cannot rely on the difficulty to create voices nor videos of other people. Instead, we really must use cryptographic methods directly backed by something the user possesses, like electronic ID cards and hardware backed wallets or indirectly backed by something the user possesses, like cloud wallets with strong proven security using strong user authentication backed by FIDO security keys, passkeys or similar [16].
The recent advances in AI make it very clear that we have to accelerate the shift towards robust security for all remote interactions as methods that were only theoretically attackable (but not practically attacked) before are practically attacked now (or will be in the near future). This shift towards robust security will then help us to keep fraud under control, accelerate business and provide peace of mind to users – getting us closer to the ePromiseland [17].
Nok NokはOMNISECUREにいます。5月22日、ベルリンで開催されるOMNISECUREにNok Nokのロルフ・リンデマン博士とネットセテラが参加します。オンラインショッピングにおけるFIDOの役割について議論します。会議は5月22日から5月24日まで開催されます。
6月2日午前8時30分よりラスベガスで開催されるIdentiverse 2023にて、Nok Nok Labsのロルフ・リンデマンが「規制市場におけるマルチデバイスパスキーの活用」をテーマに講演します。Rolf LindemannはNok Nok Labsの製品および戦略担当リーダーとして、ITセキュリティ分野で20年以上の経験を持ち、セキュリティ市場や技術に関する深い知識を持っています。
マルチデバイス対応の同期パスキーは、デバイス間で認証を行う便利な方法を提供します。 しかし、規制対象の業界にとっては、暗号鍵の複製、新しいデバイスを導入する際の管理不足が、コンプライアンス上の課題となります。 さらに、このようなマルチデバイス対応の認証資格情報を停止または取り消す際の粒度の低さが、実用的な実装に複雑さを加えています。
良いニュースは、銀行、フィンテック、モバイルネットワーク事業者、その他の規制産業がパスワードレスの旅の一部としてパスキーの利点を活用することを可能にする、これらの課題を克服するための戦略があることです。
Rolf氏のセッションでは、規制市場に課されるセキュリティ要件に対応しつつ、顧客にパスキーの利便性をもたらすための様々なアプローチについて学ぶことができます。
Nok Nokのロルフ・リンデマン博士は、5月30日から6月2日までラスベガスで開催されるIdentiverse 2023で、規制市場におけるマルチデバイス・パスキーの活用について講演します。
Nok Nok、Trusona、FIDOアライアンスはpasskeysウェビナーにご招待します。Nok Nokの製品担当副社長Rolf Lindemann、TrusonaのCTO John Summers、FIDOアライアンスのエグゼクティブ・ディレクター兼CMO Andrew Shikiarが、2023年3月28日午前9時(日本時間)にZOOMを通じてストリーミングするpasskeysウェビナーに参加します。デジタルビジネスでpasskeysをサポートするための最重要事項」は、passkeysの利点とデジタルサービスでの実用的な実装について理解を深めたいデジタルビジネスのリーダーやプロダクトオーナー向けに設計されています。
パネルディスカッションでは、パスキーの即時性と、それをサポートするために必要な労力、そして複数のユーザージャーニーにわたるUXの課題について議論します。さらに、様々なデプロイメントオプションを検討し、参加者がパスキーの旅をすぐに始められるようにします。
主な収穫
- パスキーにはビジネス上の重要な価値がある(認証の成功、ATOの削減など)
- パスキーのサポートにはインフラが必要
- 今すぐ始められる
- パートナーはパスキーの導入を確実に成功させることができる
2023年3月28日(火)午前9時(PT)のカレンダーに印をつけ、パスキーの価値について批判的な議論を行うこのウェビナーに今すぐお申し込みください。
Nok Nokは、世界最大規模の組織におけるパスワードレス・コンシューマー認証のリーダーとして信頼されています。現在市場で最も革新的な認証ソリューションを提供するNok Nokは、グローバル企業がデジタルサービスにアクセスする際のユーザーエクスペリエンスを向上させるとともに、最先端のプライバシーおよび規制要件を満たすことができるよう支援しています。Nok Nokについての詳細はこちらをご覧ください。
Trusonaは、「相手の身元を知る」というシンプルな約束のもとに設立された。2015年以来、従来のユーザー名/パスワード認証の脆弱性を超えてパスワードレスID認証に移行することで、企業がデジタルIDにおいてより高いレベルの保証を達成できるよう支援している。Trusonaの詳細はこちら。
FIDO アライアンスは、パスワードへの世界の過度の依存を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体である。FIDOアライアンスは、認証およびデバイス認証のための標準の開発、使用、遵守を推進しています。FIDOアライアンスの詳細はこちら。
Nok Nokの製品担当副社長、ロルフ・リンデマン博士と木曜日午前9時(PT)からAuthenticate Virtual Summitに参加しませんか:強力な認証によるヘルスケアの近代化Nok Nokが主催するこのサミットでは、医療機関、ソリューション・プロバイダー、業界の専門家が、FIDOおよび関連技術を活用して医療認証を近代化する方法について、専門的な見地から解説します。すべてのセッションはイベント終了後、登録者にオンデマンドで提供されます。イベント登録 こちらから.
リンデマン博士は、同社の製品とソリューションの開発と戦略を担当している。ITセキュリティ業界で20年以上の製品管理、研究開発、運用の経験を持ち、FIDOの第一人者でもある。業界イベントで頻繁に講演するロルフ・リンデマンは、シマンテックの製品管理シニア・ディレクターとして、スマートグリッドやモバイルネットワークにおけるオンデバイス認証の研究と製品戦略を担当した。
「モバイル端末を利用した取引は急速に普及しており、利便性とセキュリティの両立が不可欠です。日立の金融システムやセキュリティ関連分野における豊富なシステム開発力とノウハウ、そしてグローバルに展開し、実績のあるNok Nok LabsのFIDO認証製品を組み合わせることで、その両立を実現し、今回の採用に至りました。」
– Nobuo Nagaarashi, General Manager, Financial Information Systems 1st Division, Hitachi, Ltd.
MUFGのMはMitsubishiの略で、mitsuとhishiを組み合わせた造語である。ミツは3。菱は菱の実を意味し、ひし形や菱形を表す言葉である。 日立とのパートナーシップにより、MUFGは銀行の多くのアプリやサービスにおいてパスワードレス認証ソリューションを実現している。
「FIDOのアーリーアダプターとして、私たちは大きなビジネス効果を実感しており、パートナーであるNok Nokとともに最新のFIDOイノベーションを活用し続けることに完全に賛同しています。
– Rakan Khalid, Group Product Manager, Identity.
IntuitはNok NokのS3 Suiteを利用して、モバイル・アプリケーションとデバイスにパスワードレス認証を導入しました。その結果、顧客のIntuitアプリケーション体験における摩擦が軽減されました。
「ドコモは、標準ベースのアプローチに裏打ちされたシンプルで強力な認証を数百万人の顧客に提供する世界的なイノベーターである。
– Phillip Dunkelberger, President & CEO of Nok Nok Labs.
Nok Nokの初期の顧客の1社であるNTTドコモは、FIDOを利用した課金システムを提供した最初の通信事業者であり、FIDOを統合した統合IDシステムを提供した最初の通信事業者であり、虹彩生体認証を利用したモバイルデバイスを提供した最初の通信事業者です。
「従来、認証システムの最大の課題のひとつは、セキュリティとユーザー体験のバランスをとることでした。FIDO標準のおかげで、両要素がシームレスに連携し、透明性のある迅速なユーザー体験とともに、最高水準のセキュリティを顧客に提供できると確信しています。」
– Juan Francisco Losa, Global Technology & Information Security Officer.
Nok Nokは銀行業界のリーダーであるBBVAと提携し、最先端の生体認証機能を通じて同行のモバイル・バンキング・サービスのセキュリティとユーザー体験を向上させました。
「パスワードは弱く、忘れられやすく、ハッキングされやすいからです。ソフトバンクが数百万人の顧客のために当社の標準ベースの認証プラットフォームを選択したことを非常に喜ばしく思っています。"
– Phillip Dunkelberger, President & CEO of Nok Nok Labs.
ソフトバンクの携帯電話契約者数百万人が、モバイルアプリケーション「My SoftBank Plus」を通じて生体認証を利用できるようになりました。この実装により、ソフトバンクの携帯電話ユーザーは、生体認証を使用してMy SoftBankサービスのデータにアクセスし、摩擦のないシンプルで迅速な認証体験を実現します。
「アフラックは日本の保険会社として初めてFIDO認定ソリューションを導入しました。今後もNok Nok Labsと連携し、銀行や保険業界、その他の業界への導入を進めていきたいと考えています。」
– Michihiko Ejiri, VP, Head of Portal Service Division, Service Technology Unit, Fujitsu Limited.
Nok Nok S3 Suiteにより、富士通はアフラックの顧客に対し、iOSおよびAndroidデバイス上であらゆる生体認証を使用したモバイル保険金支払いアプリケーションにおいての強力な認証を提供しました。このソリューションはまた、アフラックとその顧客に対し、既存のセキュリティ環境と相互運用可能で、ユーザー名とパスワードへの依存を軽減または排除する拡張性のあるユーザー認証方法を提供します。
「私たちのお客様には、その要件を満たす市場で最も安全な製品のみを使用しています。Nok Nok Labsは当社の製品ポートフォリオにぴったり合致しており、非常に信頼できるパートナーシップであると自負しています。」
– Lukas Praml, CEO of YOUNIQX.
オーストリア国立印刷局(OeSD)の子会社で数々の賞を受賞しているYOUNIQX Identity AGとNok Nokは、リヒテンシュタイン国民のための電子IDシステム(eID)を提供するために提携しました。 この導入は、Nok NokのFIDOプラットフォームが電子IDの提供に初めて使用されたことを意味します。
ファン・ファクト
2009年現在、リヒテンシュタインの国民一人当たりの所得は139,100ドルで、世界のどの国よりも高い。
「Nok Nokの最先端の標準ベースのプラットフォームは、素晴らしいユーザー体験を提供します。
Steve Bell, Chief Technology Officer at Gallagher
When a horse called Joe took too much of a liking to using a car as a scratching post, owner Bill Gallagher Sr. devised a cunning electrical circuit that delivered a shock whenever the horse rocked the vehicle, and in doing so created a company. Today, with passwordless authentication from Nok Nok, Gallagher is leading the IoT industry with innovative solutions that work in your office and in the outback.
「過去のパスワード忘れは約65%でした。Nok Nok LabsのFIDOソリューションを導入した後、パスワード忘れは7%に減少しました。」
Michael Engan, T-Mobile
Nok Nok S3 Suiteを使用することで、T-Mobileはキャリアにおけるパスワードレス認証導入のリーダー的存在となりました。T-Mobileのソリューションはパスワード忘れを減らし、顧客満足度を劇的に向上させました。
T-MobileのMichael EnganがIdentiverse 2019でNok NokのS3 Authentication Suiteの導入について語ります。