パスワードが壊れています。 WebAuthn は認証の新しい標準です

公開: 2022-09-22

最近、iThemes Security Pro は、WordPress サイトの主要な認証方法としてパスキーを追加しました。 この画期的なリリースは、WordPress スペースでこの種のものとしては初めてのものであり、知っておくべきことです。 繰り返しになりますが、iThemes Security は、WordPress ユーザーに優れたセキュリティ機能を提供する上でリーダーシップを発揮しています。

この投稿では、パスワードの問題、WebAuthn とは何か、そしてこのテクノロジーをあらゆる場所で使用し始める理由について説明します。 エンドユーザーのログインとセキュリティ機能の改善を検討している WordPress サイトの所有者は、摩擦のないログインのための最先端の標準を利用できるようになりました。

WebAuthn が解決するパスワードの問題を理解する

WordPress で使用されるユーザー アカウントを含む私たちのオンライン ライフは、ユーザー名とパスワードによるアクセスに基づいています。 これでしばらくは大丈夫でした。 しかし、再利用されたパスワード、辞書ブルート フォース攻撃、および悪意のある攻撃者による侵害されたアカウント データの共有により、パスワード ベースのセキュリティ システムは効果がなくなりました。

実際、Verizon の 2022 年の DBIR レポートによると、侵害の 80% 以上が盗まれた資格情報に起因する可能性があり、脆弱性の悪用に対する主要な侵入ベクトルとして、盗まれた資格情報が 30% 増加しています。

資格情報は、ユーザー名とパスワードの組み合わせを指します。 Verizon のデータは、パスワードが破られていることを示しています。 2 要素認証 (2FA) の追加は役に立ちましたが、残念ながら、追加された摩擦と複雑さにより、28% のユーザーにしか採用されていません。 わかりました。 2FA は、攻撃者にとってもう 1 つの摩擦を追加しますが、ユーザーのログインも困難にします。 また、SMS ベースの 2FA の場合、十分に安全ではありません。 価値の高いターゲットに対する SIM ポート攻撃の話は一般的ではありませんが、発生すると壊滅的です。

FIDO (Fast Identity Online) Alliance は、これらの問題の解決に向けて取り組んできました。WebAuthn は、その取り組みから生まれた仕様です。

私たちのデジタル ライフのこの段階では、パスワードが破られています。 ありがたいことに、認証のための新しいより良い方法があり、それが WebAuthn です。

WebAuthnとは?

WebAuthn は、Web 認証 API の略です。 これは、Apple、Google、Mozilla、Microsoft、Yubico などの参加を得て、W3C と FIDO によって作成された仕様です。 WebAuthn API を使用すると、サーバーはパスワードの代わりに公開鍵暗号を使用してユーザーを登録および認証できます。 2019 年 1 月以降、WebAuthn は Chrome、Firefox、Microsoft Edge、および Safari でサポートされています。 この記事の執筆時点で、WebAuthn は 90% を優に超えるデバイスとそのブラウザーでサポートされています。

WebAuthn は FIDO2 フレームワークの一部であり、サーバー、ブラウザー、およびオーセンティケーター間のパスワードレス認証を可能にする一連のテクノロジーです。 WebAuthn は World Wide Web Consortium によって標準化されました。

非常に多くのデバイスが iPhone の FaceID、MacBook の指紋認識、Windows Hello などの生体認証を使用しているため、ログイン試行が実際に有効なユーザーであるかどうかを判断する新しい方法があります。ブルートフォース攻撃ではありません。

WebAuthn はどのように機能しますか?

WebAuthn は、公開鍵暗号化を使用して、ユーザーとユーザーが使用するシステム間の接続を保護します。 WebAuthn を使用すると、標準をサポートするすべてのサイトで、デバイスの生体認証や YubiKey などの単一の認証方法を使用できます。 このように、ユーザーはアクセスするサイトごとにパスワードを取得する必要はなく、WebAuthn で動作する強力なオーセンティケーターだけが必要です。

パスワードの代わりにこの強力な認証を使用して、Web サイトの秘密鍵と公開鍵のペアを作成できます。 秘密鍵はデバイス (携帯電話やコンピューターなど) に安全に保存され、公開鍵とランダムに生成された資格情報は保存のために Web サーバーに送信されます。 Web サーバー (iThemes Security Passkeys の場合は WordPress サイト) は、公開鍵を使用してユーザーの身元を確認できます。

WebAuthn の仕組み

この公開鍵はシークレットではありません。 そのため、Web サーバーまたは WordPress サイトがハッキングされた場合、公開鍵と共に保存された資格情報は攻撃者にとって役に立ちません。 公開鍵は、秘密鍵なしでは使用できません。

WebAuthn が実際にどのように機能するかを理解するために、FIDO2 プロジェクトには優れたリソースがいくつかあります。

WebAuthn はセキュリティの展望を変えます

WebAuthn は、セキュリティの世界で本当に画期的です。 公開鍵がハッカーにとって役に立たないため、データベースはもはやハッカーにとって魅力的ではありません。 同様に、WebAuthn は資格情報の盗難をより困難にします。

また、エンド ユーザーは、WebAuthn によって複数のユーザー名とパスワードを覚える必要がなくなります。 たとえば、MacBook のユーザーが必要とするのは、iThemes セキュリティ パスキーが有効になっているサイトにログインするための指紋だけです。

WebAuthn を実装した Apple は、WebAuthn がフィッシング攻撃から保護することにも言及しています。 ユーザーに偽のログイン画面へのリンクをメールで送信するフィッシング攻撃は、パスワードがなければ効果がありません。 アカウント ログインにパスキーを使用するユーザーは、悪意のあるフィッシング フォームに提供するパスワードさえ持っていません。 認証は、Web サーバーに保存されている公開鍵と通信するデバイスに保存されている秘密鍵によって完全に処理されます。 WebAuthn は、ランダム フィッシング攻撃とターゲットを絞ったスピアフィッシング攻撃の両方を効果的に無効にします。

セキュリティ ゲームは WebAuthn で変わりました。 ブルート フォース攻撃やパスワードの盗難が悪意のある攻撃者にとって魅力的でなくなるまでには時間がかかるかもしれませんが、WebAuthn を実装することを選択した積極的なサイト所有者は、自分のサイトがもはやゲームの一部ではないことを保証するリーダーになるでしょう.

スムーズなログインで顧客満足度が向上

これらのサイト所有者は、ユーザー、顧客、学生、または WordPress サイトにログインしているすべての人に、追加の価値ある機能も提供しています。 WordPress サイトの安全性を確保するために摩擦の多い多要素認証プロトコルを要求する代わりに、iThemes Security によって実装された WebAuthn を使用すると、サイトの所有者は摩擦のないパスワードなしのログインを提供できると同時に、サイトをハッカーにとって魅力的ではなくなります。

WebAuthn の実装がさらに増える予定です

このテクノロジーがどれほど人生を変えるかを見て、なぜ WebAuthn を使用しないサイト、サービス、アプリが増えているのか不思議に思うかもしれません。 この技術は画期的ですが、非常に新しいものでもあります。 レガシー サービスに WebAuthn を追加するには、いくつかのリファクタリングが必要です。 しかし、風景を変える多くの新しいテクノロジーで見てきたように、それは来ています。 パスワードを超えて移動する必要性は、明確な原動力です。 また、より多くのユーザーが摩擦のないログイン機能を体験するにつれて、パスワードなしのログインを拡張したいというユーザーの要求が見られるようになるでしょう.

このようにして、iThemes Security は WordPress セキュリティのリーダーとしての地位を固め、WordPress ユーザーのログイン方法を一変させました。 iThemes Security Passkeys は、WordPress スペースでの WebAuthn の最初の実装であり、今後の標準になることは間違いありません。

WordPress サイトの iThemes Security Passkeys を今すぐ入手するには、iThemes Security Pro が必要です。 幸いなことに、現在これを割引価格で入手できます。 ただし、これらの低価格は長くは続きません。 販売は 2022 年 9 月 30 日に終了します。

サイトの iThemes セキュリティ パスキーを取得する