When can we finally get rid of passwords? https://t.co/K9DGq1OAcM pic.twitter.com/U0pYuUY930— The Verge (@verge) April 25, 2019
代替技術は既にあるが、採用は進んでいない。
The Verge
Jon Porter
Apr 24, 2019
2月25日、Googleはオンラインセキュリティに大きな影響を与える可能性があるAndroidの新しい機能を公開した。Androidのバージョン7.0以降が搭載された機器全てで、パスワードなしでログイン操作が可能になるFIDO2の認可を受けたことを発表したのだ。一夜にして世界中のAndroidユーザーたちは突然セキュリティキーをポケットに持ち歩くことになったのだ。このセキュリティキーはパスワードとそれ以外の様々な問題と脆弱性を抱えた全てのログイン方法を過去のものにしてくれる可能性のあるものだ。
パスワードは現在でも私たちのデジタルライフの安全を守るものだが、徐々にその役割を果たしきれなくなってきている。簡単に推測できるフレーズを使い回す人が多く、根本的に大規模な攻撃に対しては脆弱なものだ。攻撃者は銀行や他のオンラインサービスに似せたウェブサイトかメールを仕立ててパスワードを入力させる(「フィッシング」攻撃と言われる)だけでアカウントを乗っ取ることができる。
しかしこの状況はFIDO2が標準化されることで変わるかもしれない。文字の羅列を入力(実際はブラウザの機能かパスワードマネージャーを使っているだろうが)するのではなく、セキュリティキーか指紋のような生体認証を用いることになる。かつてはこうしたセキュリティキーとしてUSBスティックかブルートゥース接続のドングルが使われていたが、Googleの発表によるとAndroidフォンがそうしたセキュリティキーと同様の認証機能を持つことになる。セキュリティキーとデバイスが複雑に融合することで、覚えておく必要のあるものや傍受される可能性のあるものを使う必要がなくなる。
今回の標準化によってパスワードが完全に一掃される可能性があり、Googleはその未来に向けて積極的に動いている。「私たちはパスワードという伝統的な認証を使う必要のない世界を目指しているのです」と、Googleのプロダクトマネージャー、スティーブン・ソネフがThe Vergeに話してくれた。自分のスマートフォンにサインインしておけば、他のデバイスを「ブートストラップ」するために使うことができる。そして「Googleアカウント自体にもユーザー名もパスワードも使う必要がないのです」
こうしたログイン機能を利用するためにはウェブサイト側がFIDO2で標準化されているWebAuthnと呼ばれるオープンプロトコルを利用することになる。WebAuthnは3月の初めにワールド・ワイド・ウェブ・コンソーシアム(W3C)に承認を受けている。WebAuthnに対応したサービスはまだ少数だが増え始めている。Dropboxは昨年5月に、Microsoftは12月に、Googleは4月10日に対応を完了している。この新標準を利用してログインするためには、ユーザーのブラウザもWebAuthnに対応している必要がある。Chrome、Edge、Firefox、Safari、これらは全て対応し始めている。
しかし、これらのサービスのうち実際にFIDO2を使って完全にパスワードを一掃したのは1つだけである。Microsoftは顔認証システムであるWindows Helloか物理セキュリティキーだけがアカウントのロック解除に必要なものとして統合している。一方でGoogleとDropboxは、スマートフォンのコード生成認証アプリと同じように、WebAuthnを従来のパスワードに加える形で利用している。これは必ずしも悪いことではない。WebAuthnは6桁のログインコードとは違ってフィッシングすることはできないため、追加的に使われてもはるかに安全なものになる。しかし、まだこの仕様の潜在能力を活かしきってはいない。
実際の所、まだパスワードを一掃する準備ができていない企業が殆どである。ソネフは完全なパスワードなしの未来がGoogleの目標だと話しているが、同社はこれをいつ実現させるのかは明言していない。
昨年、Dropboxは最初にWebAuthnに対応を表明したとき、「2段階認証にWebAuthnが利用できるようになることで、ほとんどのユーザーにとって現状の正しいバランスがとれる」という考えを述べていた。今回の記事のために同社のセキュリティ担当ディレクターであるラジャン・カプールに話を聞いたところ「私たちはいつの日かパスワードが唯一のあるいは主要なログインのオプションにならない時が来るのを願っています」と話してくれた。しかし、彼は「パスワードを一掃する前に使い勝手と普及の意味で解決しなければならない問題がたくさんあります」と付け加えた。
現代型のAndroidデバイスは全てFIDO2認証に対応するため、Dropboxはこの標準機能の普及のレベルの方はそれほど問題とは考えていないようだ。しかし、使い勝手の方は解決するためにするべきことがまだ多い。例えば、仮に認証デバイスを失くした場合はどうなるのか?ここからの復旧の仕組みは解決が難しい問題であり、ソネフによるとGoogleはこの対応策を探っているところだという。ソネフは「復旧の仕組みは多くの場合最も脆弱になりやすい部分で、攻撃者が侵入に使う場所になります」と述べ、この復旧についての解決は大きな問題になるだろうと話している。
そしてiPhone問題もある。FIDO2認証はセキュリティキーとしてAppleが採用してくれない限り主流になることはない。技術的にはウェブサイト側でYubicoのUSBデバイスのような物理的なセキュリティキーの使用をiPhoneユーザーに求めることは可能だ。だが、ソネフは特定のハードウェアを購入しなければならないことは大きな障害であり、こうしたキーは仕事で必要なユーザー以外に普及する可能性は低いと考えているという。
Appleがパスワードを乗り越えることに興味を持っている証拠はある。同社は既にApple WatchをMacのログインに利用できるようにしているし、この機能を将来的に拡張しようとしているという噂もある。Appleも明らかにパスワードの限界を理解していて一掃したいと考えているはずだ。しかし、これまでのところAppleは業界全体の標準であるFIDO2のようなものより、同社によって囲われたエコシステムを優先している。
FIDOアライアンスのブレット・マクドウェルにAppleが同社の製品にFIDO2認可を受ける可能性について話を聞いてみたが、答えてはくれなかった。彼は、FIDO2の機能を追加する上で特に認可は必要なく、オープンスタンダードなのだと話している。この認証は各業者に業界標準に適切に従って市場の中の他の製品とのやり取りを可能にする「機会」なのだという。だからこそ「認可は強制ではない」のだ。
しかし、この技術が全ての面で完成したとしてもパスワードが完全に消え去る可能性は低い。マクドウェルは、ほとんどの電話機でPINが生体認証の代替として使うことができるのと同じように、パスワードも「ある程度の期間」FIDO2と併存して生き残ると考えているという。99%指紋認証を使ってログインするとしても、必要ならいつでもPINが使えるということだ。
「ユーザーの習慣と市場の要請でパスワードは使われてきたわけですが、それはまだ支持されています」とマクドウェルは言う。「時間と共に、市場の中でパスワードは意味を失って役に立たないものということになっていくのだと思います」
0 件のコメント:
コメントを投稿