パスワードレス認証
パスキーを使ったパスワードレス認証の例(Pixiv with Bitwarden

パスワードレス認証とは、ユーザーがパスワードやその他の知識ベースの秘密を入力(および記憶)することなくコンピュータシステムにログインできる認証方法です。最も一般的な実装では、ユーザーは公開識別子(ユーザー名、電話番号、メールアドレスなど)を入力し、登録済みデバイスまたはトークンを介して安全な本人確認を行うことで認証プロセスを完了します。

パスワードレス認証方式は、一般的に公開鍵暗号基盤に依存しており、公開鍵は認証サービス(リモートサーバー、アプリケーション、またはウェブサイト)への登録時に提供されます。一方、秘密鍵はユーザーのデバイス(PCスマートフォン、または外部セキュリティトークン)に保存され、生体認証署名または知識ベースではない他の認証要素を提供することによってのみアクセスできます。 [ 1 ]

これらの要因は、一般的に次の 2 つのカテゴリに分類されます。

一部の設計では、記憶されたパスワードが関係しない限り、 地理的位置ネットワーク アドレス行動パターンジェスチャーなどの他の要素の組み合わせも受け入れられる場合があります。

パスワードレス認証は、多要素認証(MFA)と混同されることがあります。どちらも多様な認証要素を使用するためです。MFAはパスワードベースの認証に加えるセキュリティレイヤーとしてよく使用されますが、パスワードレス認証では記憶されたシークレットは必要ありません。通常、パスワードレス認証では、高度に安全な1つの要素(外部セキュリティトークンなど)のみを使用してIDを認証するため、ユーザーにとってより迅速かつシンプルな認証が可能になります。

両方のアプローチを採用する場合、「パスワードレスMFA」という用語が使用されます。認証フローはパスワードレスで複数の要素を使用し、正しく実装されていれば最高レベルのセキュリティを実現します。

歴史

パスワードは時代遅れになるべきだという考えは、少なくとも2004年以来、コンピュータサイエンスの世界で広まっています。ビル・ゲイツは2004年のRSAカンファレンスで、パスワードの終焉を予測し、「本当に保護したいものには、パスワードでは対応できない」と述べました。[ 2 ]ハッキング事件の被害者であるWiredのジャーナリスト、マット・ホナンは、2012年に「パスワードの時代は終わった」と書いています。[ 3 ] Googleの情報セキュリティマネージャー、ヘザー・アドキンスは2013年に「パスワードはGoogleで行われる」と述べました。[ 4 ] Googleのセキュリティエンジニアリング担当副社長、エリック・グロスは、「パスワードやCookieなどの単純なベアラートークンでは、もはやユーザーを安全に保つのに十分ではない」と述べています。[ 5 ]ウォールストリートジャーナル紙に寄稿したクリストファー・ミムズは、パスワードは「ついに死につつある」と述べ、デバイスベースの認証に置き換えられると予測したが、Twitterのパスワードを故意に漏らしたことで携帯電話番号の変更を余儀なくされた。[ 6 ]ガートナー のアヴィヴァ・リタンは2014年に「パスワードは数年前に死んだ。今や死んだも同然だ」と述べた。[ 7 ]理由として挙げられることが多いのは、パスワードの使いやすさとセキュリティの問題である。

Bonneau らは、Web パスワードと 35 種類の競合する認証方式を、使いやすさ、導入しやすさ、セキュリティの観点から体系的に比較しました。[ 8 ] [ 9 ] (この技術レポートは、同名の査読済み論文の拡張版です。) 分析によると、ほとんどの方式はセキュリティに関してはパスワードよりも優れていますが、使いやすさに関しては優れている方式と劣っている方式があり、導入しやすさに関してはすべての方式がパスワードよりも劣っています。著者らは、次のような所見で結論付けています。「限界利益は、大きな移行コストを克服するために必要な活性化エネルギーに達するのに十分ではないことがよくあります。これが、パスワードの葬列が墓地に到着するのを見る前に、私たちがかなり長生きする可能性が高い理由を最もよく説明しているのかもしれません。」

近年の技術の進歩(生体認証デバイスやスマートフォンの普及など)やビジネス文化の変化(生体認証の受け入れや分散型労働力など)により、パスワードレス認証の採用が継続的に促進されています。大手テクノロジー企業(Microsoft、[ 10 ] Google [ 11 ])や業界全体の取り組みでは、パスワードレス認証をより広く普及させるためのより優れたアーキテクチャとプラクティスが開発されていますが、その多くは慎重なアプローチを取り、一部のユースケースではパスワードを裏に保管しています。FIDO2やWebAuthnなどのオープンスタンダードの開発により、 Windows Helloなどのパスワードレス技術の採用がさらに促進されています。2020年6月24日、Apple Safariは、パスワードレスログイン用のWebAuthnプラットフォーム認証としてFace IDまたはTouch IDが利用可能になると発表しました。 [ 12 ]

機構

ユーザーは、本人確認を受ける前に、まずシステムに登録する必要があります。パスワードレス登録フローには、以下の手順が含まれる場合があります。

  • 登録リクエスト: ユーザーが Web サイトに登録しようとすると、サーバーはユーザーのデバイスに登録リクエストを送信します。
  • 認証要素の選択:ユーザーのデバイスが登録要求を受信すると、ユーザーを認証するための方法を設定します。例えば、デバイスは指紋スキャナ顔認識などの生体認証を使用してユーザーを識別します。[ 13 ]
  • 鍵生成:ユーザーのデバイスは公開鍵秘密鍵のペアを生成し、公開鍵を将来の検証のためにサーバーに送信します。[ 14 ]

登録が完了すると、ユーザーは次の手順でシステムにログインできます。

  • 認証チャレンジ:ユーザーがサイトにログインしようとすると、サーバーはユーザーのデバイスに認証チャレンジを送信します。[ 14 ]
  • ユーザー認証: ユーザーは生体認証スキャナーを使用してデバイスに対して自分の身元を証明し、秘密鍵のロックを解除します。
  • チャレンジレスポンス:ユーザーのデバイスは、ユーザーの秘密鍵を使用して認証チャレンジへのレスポンスにデジタル署名します。 [ 15 ]
  • レスポンス検証:サーバーはユーザーの公開鍵を使ってデジタル署名を検証し、ユーザーのアカウントへのアクセスを提供します。[ 15 ]

利点と欠点

支持者は、他の認証方法に比べていくつかの独自の利点を指摘しています。

  • セキュリティの強化– パスワードは、コンピュータ システムの弱点 (再利用、共有、クラッキング、スプレーなど) であることが知られており、セキュリティ侵害の大部分の原因となる最大の攻撃ベクトルであると考えられています。
  • 優れたユーザー エクスペリエンス- ユーザーは複雑なパスワードを覚えたり、さまざまなセキュリティ ポリシーに準拠したりする必要がないだけでなく、パスワードを定期的に更新する必要もありません。
  • IT コストの削減- パスワードの保存と管理が不要なため、IT チームはパスワード ポリシーの設定、漏洩の検出、忘れたパスワードのリセット、パスワード保存規制の遵守といった負担から解放されます。
  • 資格情報の使用に関する可視性の向上- 資格情報は特定のデバイスまたは固有のユーザー属性に関連付けられているため、大量に使用することができず、アクセス管理がより厳格になります。
  • スケーラビリティ- 追加のパスワードの負担や複雑な登録なしで複数のログインを管理します。

一方で、運用面やコスト面でのデメリットを指摘する人もいます。

  • 実装コスト– パスワードレス認証は長期的にはコスト削減につながることは認められていますが、導入コストは多くの潜在的なユーザーにとって現状では障壁となっています。コストは、既存のユーザーディレクトリに認証メカニズムを導入する必要があること、そして場合によってはユーザーに導入する追加ハードウェア(OTPやセキュリティキーなど)に関係します。
  • 必要なトレーニングと専門知識– ほとんどのパスワード管理システムは同じように構築され、長年にわたって使用されてきましたが、パスワードレス認証には IT チームとエンドユーザーの両方からの適応が必要です。
  • 単一障害点- 特にOTPやプッシュ通知を携帯端末アプリケーションに利用する実装では、デバイスが壊れたり、紛失したり、盗難にあったり、あるいは単にアップグレードされたりした場合に、エンドユーザーにとって問題が生じる可能性があります。[ 16 ]

参照

参考文献

  1. ^ 「【認証セキュリティ】パスワード時代の終焉」ペンタセキュリティ株式会社2025年7月2日2025年7月10日閲覧
  2. ^ Kotadia, Munir (2004年2月25日). 「ゲイツ氏、パスワードの終焉を予測」 . ZDNet . 2023年9月28日時点のオリジナルよりアーカイブ2019年5月8日閲覧。
  3. ^ Honan, Mat (2012年5月15日). 「パスワードをなくせ:文字列だけではもう私たちを守れない理由」 . Wired . 2015年3月16日時点のオリジナルよりアーカイブ。 2015年3月14日閲覧
  4. ^ 「Googleのセキュリティ担当幹部:「パスワードは死んだ」 . CNET . 2004年2月25日. 2015年4月2日時点のオリジナルよりアーカイブ2015年3月14日閲覧。
  5. ^ Grosse, Eric; Upadhyay, Mayank (2013年1月). 「Authentication at Scale」 . IEEE Security & Privacy . 11 (1): 15– 22. doi : 10.1109/MSP.2012.162 . S2CID 57409. 2013年4月23日時点のオリジナルよりアーカイブ。 2022年7月2日閲覧 
  6. ^
  7. ^ Vijayan, Jaikumar (2014年8月14日). 「ロシアの認証情報盗難は、パスワードの時代遅れの理由を示している」 . Computer World . 2015年4月2日時点のオリジナルよりアーカイブ。 2015年3月14日閲覧
  8. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). 「パスワード代替の探求:Web認証スキームの比較評価のためのフレームワーク」ケンブリッジ大学コンピュータ研究所(英国)doi : 10.48456/tr-817 . ISSN 1476-2986 . 2019年2月19日時点のオリジナルよりアーカイブ。 2019年3月22日閲覧 {{cite journal}}:ジャーナルを引用するには|journal=ヘルプ)が必要です
  9. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). 「パスワード代替の探求:Web認証スキームの比較評価のためのフレームワーク」 2012 IEEE Symposium on Security and Privacy. サンフランシスコ、カリフォルニア州. pp.  553– 567. doi : 10.1109/SP.2012.44 .
  10. ^ 「パスワードレス認証を使用してセキュリティを強化する」 Microsoft.com、2020年1月28日。 2020年4月12日閲覧
  11. ^ 「認証をさらに簡単に」 security.googleblog.com. 2019年。2020年4月20日時点のオリジナルよりアーカイブ2020年4月12日閲覧。
  12. ^ 「Apple Developer Documentation」 . developer.apple.com . 2021年5月14日時点のオリジナルよりアーカイブ。 2020年10月7日閲覧
  13. ^ 「Microsoftアカウントにパスワード不要:パスワードレス認証とはどういう意味か?」 Business Today . 2022年4月12日時点のオリジナルよりアーカイブ。 2022年4月12日閲覧
  14. ^ a b Deighton, Katie (2022年3月22日). 「Technology Alliance Says It Is Closer to Killing Off Passwords」 . Wall Street Journal . 2022年4月12日時点のオリジナルよりアーカイブ。 2022年4月12日閲覧
  15. ^ a b「パスワードレス認証」(PDF) .世界経済フォーラム. 2022年4月1日時点のオリジナルよりアーカイブ(PDF) . 2022年4月12日閲覧
  16. ^ Smithson, Nigel (2020年6月9日). 「多要素認証の問題点:MFAアプリユーザー向けのPSA」sayers.com . 2020年8月10日時点のオリジナルよりアーカイブ。 2022年7月2日閲覧
「 https://en.wikipedia.org/w/index.php?title=Passwordless_authentication&oldid=1316451337」より取得