セキュリティ専門家によると、Microsoftが明日からAuthenticatorアプリの機能を停止する決定を下したにもかかわらず、パスワードマネージャーは今後もしばらくの間、アイデンティティ関連の脅威に対する貴重な防御策であり続けるとされています。
このテクノロジー大手は、Microsoft Authenticatorのパスワード保存および自動入力機能を段階的に廃止してきました。6月初めから、ユーザーは新しいパスワードの追加やインポートができなくなりました。翌月には自動入力機能が停止されました。8月1日からは、保存されたパスワードはアプリからアクセスできなくなります。
この時点以降、保存されたパスワードはEdgeブラウザーを通じてアクセスや自動入力が可能であり、またはユーザーは別のパスワードマネージャーにエクスポートすることもできます。しかし、Microsoftが本当に望んでいるのは、ユーザーがAuthenticatorで引き続きサポートされているパスキーへ移行することです。
パスキーは、パスワードを一切必要とせず、PINや生体認証で利用できる、より安全で使いやすい認証手段として広く認識されています。
パスキーについて詳しくはこちら:パスキーがGOV.UKアカウントをサイバー攻撃から保護へ
しかし、セキュリティ専門家は、パスワードレスな未来が実現するにはまだ数年かかると主張しており、そのためパスワードマネージャーは今後もしばらくの間、企業のセキュリティにおいて重要な役割を果たし続けると述べています。
「Microsoftによるパスワードサポートの廃止は、業界が急速にパスワードレス認証が標準となる未来へ向かっていることを示唆しています。しかし、データは別の現実を示しています」とKeeper SecurityのCEO、ダレン・グッチオーネ氏は述べています。
「大きな変革を告げるものというよりも、Microsoftの決定は、まだ進行中のより緩やかな変化の中で行われたものです。従来型のパスワードを生成し、安全に管理できるソリューションは、パスワードレス認証がデジタルシステム全体でより広く採用されつつある今でも、個人や組織にとって依然として不可欠です。」
グッチオーネ氏は、Keeper Securityのデータを引用し、40%の組織がパスワードとパスキーの両方を組み合わせたハイブリッド認証環境を運用していると述べました。
移行には時間がかかる
彼の意見は、IEEE上級会員でありノッティンガム大学サイバーセキュリティ教授のスティーブ・ファーネル氏にも支持されています。
「私たちはパスワードレスな未来への移行を目にしていますが、この移行には時間がかかるでしょう。多くの組織は最近になって多要素認証(MFA)を導入したばかりであり、たとえユーザー体験が向上するとしても、パスキーのような他の技術を開発する意欲や動機は少ないでしょう」と彼は述べています。
「一方で、独自開発やレガシーシステムのために、単純にアップデートができず、従来のパスワードを使い続けざるを得ない組織もあるでしょう。」
ファーネル氏は、パスワードに依存し続ける組織は、2つの基本事項を確実に実施すべきだと付け加えました。
「まず、ユーザーが効果的にパスワードを作成・管理できるよう、明確なガイダンスとサポートを提供することです。ほとんどの人は、何が期待されているのか、なぜそれが重要なのかを理解しているときにより良い行動を取ります」と彼は締めくくりました。
「次に、個々の行動に関わらずリスクを減らすために、デフォルトで良い実践を強制するセーフガードを導入することが重要です。」
画像クレジット:Primakov / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/passwordless-years-microsoft/