パスワードレスの未来: パスキーがどのようにあなたの生活を簡素化し、私たち全員を保護するか
公開: 2022-11-16パスワードレス認証が主流になっていることは周知の事実です。 Apple、Google、Microsoft などのグローバル テクノロジー リーダーは、パスキーの使用に移行しています。 公開鍵暗号化を利用するパスキーは、デジタル セキュリティのパラダイム シフトに近い経験をもたらします。
iThemes は、WordPress と、最終的にはインターネット全体をより安全で誰にとっても使いやすいものにするための道をリードしてきました。 未来はパスワードレスです。その理由をお伝えします。
このパスワードレス認証のガイドでは、パスキーがパスワード ベースの認証のセキュリティ上の脆弱性を克服する方法と、パスキーの使用を開始する理由について説明します。
パスワードレス認証への旅
パスワードレス認証への旅はすでに始まっています。 すべての主要なブラウザーと技術大手は、パスキーの完全なサポートを導入しています。 2022 年は、複数のデバイスやデジタル プラットフォームで、より一貫性があり、安全で、簡単なパスワードなしのサインインを実装するための新しいマイルストーンになりました。
毎年、5 月の第 1 木曜日に指定されている World Password Day は、Web をより安全で誰にとっても使いやすいものにするための共同の取り組みで行われた新しい進歩を祝います。 2022 年 5 月 5 日、Apple、Google、および Microsoft は、FIDO Alliance および World Wide Web Consortium によって作成されたパスワードレス サインイン標準のサポートを拡大する計画を発表しました。
何年もの間、FIDO (Fast Identity Online) Alliance と World Wide Web Consortium は、パスワードレス認証をインターネット上で実装できるようにする一連の標準に取り組んできました。 FIDO 2 は最新の仕様セットであり、現在ほとんどのブラウザーとプラットフォームでサポートされています。
パスワードレス認証がどのように機能するかについては、このガイドで詳しく説明します。 しかしその前に、パスワード認証が徐々に過去のものになりつつある理由を見てみましょう。
パスワードベースの認証が取り残されるのはなぜですか?
パスワードベースの認証は、インターネットが存在するほとんどずっと前から存在しており、ユーザーは資格情報ペア (ユーザー名とパスワード) を使用して Web サイトまたは Web アプリケーションにサインインできます。 このアプローチは、その信頼性と汎用性が証明されており、長年にわたり業界標準となっています。
ただし、実装と使用が簡単であるにもかかわらず、パスワード ベースの認証に関連する多くの欠点とセキュリティ リスクが、ユーザー側とサーバー側の両方ですぐに発見されました。 簡単に言えば、ユーザーとサーバーの両方に、共有秘密を安全に保つ機能がありません。
パスワード ベースの認証に関連する主なセキュリティ リスクは、パスワードを共有シークレットとして使用することに集中しています。 これは、認証プロセスのさまざまな段階で、悪意のあるアクターが利用できるようになる可能性があります。 ブルート フォース攻撃が成功すると、パスワードが破られたり、単純に推測されたりする可能性があります。
パスワードが公開される 3 つの一般的な方法
調査によると、ハッキングに関連するすべての侵害の 80% 以上がパスワード侵害に起因することが示されています。 これは、ある時点で、ハッカーが Web サイトまたは Web アプリケーションの正当な所有者になりすましてシステムへの不正アクセスに成功したことを意味します。 しかし、ウェブサイトはどのようにハッキングされるのでしょうか?
パスワードが公開される最も一般的な方法には、フィッシング、ブルート フォース攻撃、およびデータ侵害が含まれます。 ユーザーは、だまされて認証情報を漏らしてしまう可能性があります。 または、サービス プロバイダー側でデータ侵害が発生した場合に、パスワードが推測されたり漏洩したりする可能性があります。
ブルートフォース攻撃とデータ侵害
ブルート フォース攻撃は増加しており、ネットワーク攻撃全体の約 80% を占めています。 パスワードの推測は自動化されているため、攻撃者がアカウントをクラックするのにそれほど時間はかかりません。
ハッカーのマシン (またはボットネットとして知られるコンピューターのネットワークでさえ) は、毎秒何千もの組み合わせを生成できます。 これにより、攻撃者はすぐに Web サイトまたは Web アプリケーションへの不正アクセスを取得できます。
なぜハッカーがあなたの Web サイトを攻撃するのか疑問に思っているなら、その説明は簡単です。 ハッカーは、毎秒数千の Web リクエストを作成する能力を持っています。 彼らは侵入したい Web サイトを選択することはめったになく、できるだけ多くの Web サイトをハッキングしようとします。
Web サイトやサーバー全体への管理者アクセス権を取得すると、ハッカーがシステムを悪用する可能性がほぼ無限に広がります。 その 1 つは、アプリケーションのデータベースから、ユーザー名やパスワードなどのユーザー情報を漏えいさせることです。
強力なパスワードを使用してもすべてのセキュリティ リスクに対処できない理由
強力なパスワードを使用することは絶対に不可欠であり、ブルート フォース攻撃に対する強力な防御ラインを提供します。 強力なパスワードを使用すると、すべてのセキュリティ リスクに対処できると考えられています。 ただし、資格情報が侵害される可能性をある程度減らすことしかできません。
2 要素認証を構成するユーザーは約 30% のみです。 多要素認証を使用しないと、ハッカーは機密情報にアクセスする一歩手前になります。
ワンタイム パスワード、SMS 検証、またはその他の種類の 2FA を設定することは、パスワード認証のほとんどのセキュリティ脆弱性を克服するための優れたオプションです。 ただし、パスキーはサイバーセキュリティの世界で大きな違いを生む可能性があります。
パスキーとは
パスキーは、パスワードベースの認証を完全に置き換えることができる非対称暗号化を利用したデジタル資格情報です。 パスワードレス認証の一種であるパスキーは、複数のユーザー デバイスでサービスやアプリケーションにサインインするための、より高速で安全な方法を提供します。
パスワードレス認証を使用すると、サインインするためにユーザー名とパスワードを入力する必要がなくなります。代わりに、デバイスがパスキー (特定の資格情報 ID によって識別される暗号化キーのペア) を生成します。
パスキーが安全な認証を保証するしくみ
作成するすべてのパスキーは一意であり、個々の Web サイトまたは Web アプリケーションに限定されます。 ユーザーが覚えておく必要がある共有秘密やパスワードがないため、パスキーはフィッシングやブルート フォース攻撃に対する完全な保護を提供します。
新しいパスキーが作成されると、サーバーは公開キーと資格 ID を保存します。 秘密鍵は、ユーザーのデバイスまたは持ち運び可能な YubiKey などのハードウェア セキュリティ キーに安全に保存されます。
パスキーをサポートするには、ユーザーのデバイスにトラステッド プラットフォーム モジュール (TPM) セキュリティ チップが搭載されており、キーの生成やプラットフォーム認証システムなどの暗号化操作を実行する必要があります。 プラットフォーム認証システムは、通常、生体情報や PIN コードなど、複数のタイプの ID 検証をサポートします。
パスキーは、クラウド サービスを介してユーザーのデバイス間で自動的に同期することもできます。 したがって、他のデバイスで新しいキー ペアを作成する必要はありません。 パスキーの同期はエンド ツー エンドで暗号化され、クラウド サービスはパスキーの暗号化されたコピーを安全に保存します。
公開鍵が漏洩したとしても、対応する秘密鍵がなければハッカーには役に立ちません。 これにより、データ侵害による不正アクセスの可能性が排除されます。 悪意のあるアクターがあなたになりすます実際の方法はありません。
パスキーはどのように機能しますか?
パスキーの使用は、非対称暗号化の開発と、FIDO Alliance および World Wide Web Consortium によって作成されたいくつかの標準とプロトコルのおかげで可能になりました。 公開鍵暗号化、WebAuthn、および Client to Authenticator Protocol についてさらに学習することで、パスキーがどのように機能するかをより詳細に確認しましょう。
公開鍵暗号
公開鍵、または非対称暗号化には、さまざまな関係者によって交換されるデータの暗号化と復号化に使用される秘密鍵と公開鍵のペアが含まれます。 秘密鍵は、公開鍵がオンラインで公開されている間 (またはパスキーの作成時にサーバーに渡されている間) 秘密にしておく必要があります。
パスワードレス認証とは別に、非対称暗号化は、ネットワーク上を移動するトラフィックを保護するためにエンド ツー エンドの暗号化を保証するのに役立ちます。 SSL/TLS 証明書にはオリジン サーバーにインストールされた秘密キーがあり、公開キーは接続を確立する前に Web サイトの ID を確認するために使用されます。
Web Authentication API (WebAuthn) および Client to Authenticator プロトコル
Client to Authenticator Protocol とともに、Web Authentication API は FIDO2 フレームワークの一部です。FIDO2 フレームワークは、サーバー、ブラウザー、およびオーセンティケーター間でパスワードレス認証を使用できるようにする一連のテクノロジーです。
Web Authentication API の略である WebAuthn は、World Web Consortium と FIDO によって開発された新しい仕様であり、サーバーがパスワードレス認証を実装できるようにします。 2019 年以降、WebAuthn は、Chrome、Firefox、Safari、Edge を含むすべての主要なブラウザーでサポートされています。
アプリケーション プログラミング インターフェースとして、WebAuthn を使用すると、Web サイトや Web アプリケーションは、パスワードの代わりにパスキーを使用してユーザーを登録および認証できます。
Web 認証は、Credential Management や Client to Authenticator Protocol 2 (CTAP 2) などの他の FIDO 標準と連携して機能します。 CTAP 2 は、ブラウザー、オペレーティング システム、およびローミング認証システム間の通信を指定するアプリケーション層プロトコルです。
パスキーを登録する
認証のために新しいパスキーを登録すると、アプリケーションをホストしているサーバーがチャレンジを生成します。 次に、デバイスは新しいキー ペアを作成し、チャレンジに署名して、資格情報 ID と共に公開キーをサーバーに送信します。
サーバーは、次回のログイン時にユーザーを認証するために、公開キーと資格情報識別子を保存します。冗長性のために、アカウントごとに複数のパスキーを作成できます。 これは、プライマリ パスキーを紛失した場合に、アカウントを迅速に回復するのにも役立ちます。
秘密鍵はデバイスに保存され、そこに安全に保管されます。 秘密鍵にアクセスできる唯一の方法は、生体認証センサーを使用して身元を確認することです。 これには、指紋、顔のパターン、または PIN が含まれます。
パスワードレス認証のプロセス
アカウント用の新しいパスキーが作成されると、Web サイトまたはアプリケーションにログインする必要があるときはいつでもパスワードレス認証を利用できます。 ユーザー名とパスワードでログインする代わりに、パスキーの使用を選択できます。
サーバーは、資格情報 ID (アカウントに対して複数のパスキーを生成した場合は複数の ID) とチャレンジを送信します。 次に、デバイスは資格情報 ID を使用して正しいキーを見つけ、サポートされている認証方法のいずれかを使用して ID を検証するように要求します。
キーのロックが解除されると、デバイスはチャレンジに署名し、認証のためにサーバーに送信します。 サーバーは、ペアの公開鍵を使用して署名されたチャレンジを検証し、アカウントへのアクセスを許可します。
iThemes は WordPress にパスワードレス認証をもたらします
WordPress は常に、世界中のハッカーにとって優先度の高い標的でした。
WordPress Web サイトへの攻撃数の増加と世界的なマルウェアの量は見過ごされていません. 悪意のある攻撃の対象が増えるにつれて、Web サイトのセキュリティはこれまで以上に重要になっています。
何年もの間、iThemes は、増え続けるセキュリティの脅威から WordPress Web サイトを保護する新しい方法を探してきました。 毎週の WordPress 脆弱性レポートは、WordPress Web サイトの重要な領域の 1 つである管理ダッシュボードを保護する方法を理解するのに役立ちました。
パスキーは、間違いなく、サイバー セキュリティの世界で最も注目すべきイノベーションの 1 つです。 プラットフォームやオペレーティング システム間でのパスキーの適応の増加は、インターネットを永遠に変える可能性があります。 WordPress パスキーは、WordPress のセキュリティに大きな違いをもたらします。 そして iThemes は、WordPress コミュニティがパスワードレス認証を利用できるようにするために、1 分も待たなかった.
2022 年 9 月、iThemes Security Pro には、パスワードレス認証のための WordPress パスキーのサポートが含まれました。 iThemes Security Pro は、サイバー セキュリティの最新の開発を WordPress Web サイトにもたらし、より安全で一貫した認証エクスペリエンスに向けて大きな一歩を踏み出しました。
iThemes Security Pro を使用すると、WordPress 認証用のパスキーをすべてのタイプのデバイスで使用できます。 Apple Touch ID、Face ID、Windows Hello などのプラットフォーム認証システムと、任意のローミング認証システムを使用できます。
WordPress のパスキーの使用を開始する
WordPress 管理者認証にパスキーの使用を開始するには、必ず iThemes Security Pro を最新バージョンに更新してください。 パスワードレス認証を有効にするオプションは、[ログイン セキュリティ] タブから利用できます。 パスキーのサポートが有効になったら、管理ダッシュボードから WordPress ユーザーのパスキーを構成します。
WordPress コア、テーマ、プラグインの自動更新をまだ利用していない場合は、開始する時期です。 受賞歴のある WordPress のバックアップ ソリューションである BackupBuddy は、すべての更新を自信を持って処理するための強力なバックアップ戦略を構築するのに役立ちます。
複数のウェブサイトを運営していますか? iThemes Sync は、単一のダッシュボードから複数の WordPress Web サイトを管理するのに役立ち、時間とお金を節約します。 高度な監視、SEO メトリクスの追跡、BackupBuddy および iThemes Security Pro との統合 – すべて、個人用の WordPress Web サイト アシスタントで利用できます。
巨大テック企業がパスキーを実装する方法
Apple、Google、Microsoft の 3 つの世界的なテクノロジの巨人は、すべての主要なブラウザーとオペレーティング システムでパスワードレス認証への道を切り開いてきました。 Android、iOS、および Windows は、強力な組み込みのプラットフォーム認証システムを使用して、複数のデバイス間でパスキーを同期できるようになりました。
アップル
Apple は、IOS 16 と macOS Ventura のリリースでパスキーを導入し、すべての Apple デバイスでユーザーがパスワードレス認証を利用できるようにしました。 Touch ID や Face ID などの Apple の組み込み認証システムは、Safari やその他の主要なブラウザーでのパスキーの使用を承認します。
パスキーは、iCloud キーチェーンの助けを借りて、すべてのユーザーの Apple デバイス間で同期されます。 ユーザーが初めて iCloud キーチェーンを有効にすると、Apple デバイスはトラスト サークルを確立し、デバイスのキーチェーンに格納された新しい一意のキー ペアを作成します。 このように、iCloud キーチェーンは強力な暗号化キーによるエンド ツー エンドの暗号化を提供します。
グーグル
Google は 10 月に、Google Chrome と Android でパスキーをサポートすることを発表しました。 これは、パスキーをエコシステムに統合する上での大きなマイルストーンでした。 Chrome と Android では、パスキーは Google Password Manager に保存されます。 資格情報は、同じ Google アカウントにサインインしているユーザーのデバイス間で同期されます。
今後、Google は Android のパスキーのサポートを拡大する予定です。 新しい API により、Android アプリケーションでパスキーを使用できるようになります。
マイクロソフト
Microsoft は、インターネット上でパスワードレス認証を実装する方法をリードしてきました。 2022 年以前は、パスキーのサポートは Windows 365 と Azure Virtual Desktop に既に含まれていました。
Microsoft は、現在 Windows 10 および 11 に組み込まれている堅牢なプラットフォーム認証システムである Windows Hello を使用して、パスワードなしのログインを有効にしています。Microsoft のパスキーの実装は、Apple のものと似ています。 同じ Microsoft アカウントにサインインしているデバイス間でパスキーを同期できます。
パスキーを使用する他の企業
いくつかの企業は、FIDO アライアンスによって開発された標準に基づくパスワードレス認証をすでに採用しています。 PayPal、Amazon、eBay、Facebook、Netflix、および IBM は、プラットフォームにパスワードレス認証を導入したイノベーターの 1 つです。
まとめ
FIDO Alliance と World Web Consortium によって開発された非対称暗号化と多くの強力なプロトコルと仕様に基づいて、パスキーは近い将来、パスワードベースの認証を完全に置き換えることができます。 最大のテクノロジー企業は、パスキーのサポートを徐々に拡大しています。 ブルート フォース攻撃や不正アクセスのことはすぐに忘れてしまいます。
より一貫した認証エクスペリエンスを提供するための適切なソリューションを何年にもわたって見つけてきた結果、パスキーは私たちの生活を簡素化し、私たちを保護するために登場しました。 パスワードとは何かを忘れてはいけませんか? まだではありませんが、パスキーを使用できるようにする必要があります。
認証の未来はパスキーです! iThemes Security Pro でのみ利用可能な生体認証を使用して WordPress サイトにログインします
Credential Stuffing によるブルート フォース攻撃、フィッシング攻撃、パスワードの再利用などの問題により、デジタル ライフの安全性が低下しています。 私たちは皆、保護として 2 要素認証を奨励しようとしましたが、実際に 2 要素認証を使用しているユーザーは 30% 未満です。 パスワードベースのログインは問題です。
認証の未来はパスキーであり、iThemes Security Pro はこの画期的な技術を WordPress サイトに導入した最初の製品です。 パブリック/プライベート暗号化に基づく画期的な WebAuthn テクノロジーを使用して、パスキーはパスワードを時代遅れにします。 これで、Web サイトの管理者とエンド ユーザーは、追加の 2 要素アプリ、パスワード マネージャー、または複雑なパスワード要件に煩わされることなく、安全にログインできます。
Kiki は情報システム管理の学士号を取得しており、Linux と WordPress で 2 年以上の経験があります。 彼女は現在、Liquid Web と Nexcess のセキュリティ スペシャリストとして働いています。 それ以前は、Kiki は Liquid Web Managed Hosting サポート チームの一員であり、何百人もの WordPress Web サイト所有者を支援し、彼らがよく遭遇する技術的な問題について学びました。 彼女の執筆への情熱により、彼女は自分の知識と経験を共有して人々を助けることができます。 テクノロジーとは別に、キキは宇宙について学んだり、真の犯罪に関するポッドキャストを聞いたりすることを楽しんでいます。