フィッシング耐性と認証情報の再利用への抵抗性を引き合いに、当局はサポートされている場所でパスキーを推奨し、従来のログインは本質的に脆弱なままだと警告している。
英国国家サイバーセキュリティセンター(NCSC)は、パスキーを企業が消費者に提供するデフォルト認証方法として推奨しており、業界の進歩により、パスワードのより安全でユーザーフレンドリーな代替手段となったと述べている。
今週発表されたブログポストで、当局はパスキーが一般大衆と企業の両方にプライマリ認証方法として推奨できると述べた。
「パスキーは現在、消費者の第一選択のログイン方法であるべき」と英国のサイバーセキュリティ当局はブログポストで述べており、パスワードは「現代の世界にはもはや回復力が不十分」であると付け加えた。
「パスキーはオンラインアカウントにログインするための新しい方法であり、ユーザーのための重い負担をこなし、パスワード入力を必要とするのではなく、ユーザーの承認のみを必要とする。これにより、パスキーはより速く、使いやすく、サイバー攻撃者が侵害しにくくなります」とNCSCはブログで付け加えた。
当局はパスキーがサポートされている場所であればどこでも使用すべきだと述べ、フィッシング耐性があり、パスワード再利用に関連するリスクを排除すると説明している。
フィッシング耐性認証に焦点を当てる
このガイダンスは、現実世界の攻撃に対して認証方法がどのように機能するかについての当局の評価に基づいている。
NCSCは、その分析がフィッシング、認証情報の再利用、セッションハイジャックを含む一般的な手法を検査し、作成とストレージから使用まで、認証情報がそのライフサイクル全体でどのように公開されるかを評価すると述べた。
「パスキーはフィッシング攻撃に耐性があり、パスワード再利用に関連するリスクを排除する」と当局は述べた。
付随する技術白書で、NCSCは、ワンタイムコードと組み合わせたパスワードを含む従来の認証方法は「本質的にフィッシング可能」なままであると述べた。
対照的に、パスキーなどのFIDO2ベースの認証情報は、「野生で観察されるすべての一般的な認証情報攻撃に対して、従来のMFAと同じかそれ以上に安全である」と当局は述べた。
ただし、NCSCは技術白書で注意を促し、「この文書の分析の多くはエンタープライズ認証シナリオ(例:スタッフがシングルサインオンに認証する)にも適用されるが、異なる脅威モデルと使用シナリオは、この文書がエンタープライズリスク評価を意図していないことを意味する」と述べた。
パスキーが攻撃モデルをどのように変えるか
NCSCは、パスキーが共有シークレットへの依存を排除し、認証を正当なサービスにバインドすることでリスクを削減すると付け加えた。
当局によれば、認証が攻撃者によって傍受され再利用されることができないため、これは認証情報の再利用とリレー攻撃を防ぐ。
当局は、パスキーはユーザーのデバイスに保存された暗号化キーペアを使用し、認証は生体認証やPINなどのデバイスベースの検証に結び付けられていると述べた。
ユーザーレベル認証の転換
顧客にオンラインサービスを提供する組織にとって、このガイダンスはユーザーインターフェイスレベルで認証がどのように実装されるかの転換を示している。
「これは段階的な認証アップグレードではなく、基本的なアーキテクチャの変更です」とForresterのシニアアナリストであるMadelein van der Houtは述べました。「組織をパスワード+MFAのパラダイムを超えて、フィッシング耐性の基盤に向かわせます。」
Van der Houtは、パスキーは共有シークレットではなく、デバイスバウンド暗号化認証を使用することで、認証情報盗難に関連するリスクを排除すると述べた。
「これを認証情報スワップとして扱う組織は過小投資になるでしょう」と彼女は述べた。「これをより広い身元近代化の機会として扱う者が先に進むでしょう。」
NCSCは、組織がアカウント回復とフォールバック機構を含む完全なユーザージャーニー全体で認証がどのように実装されるかも考慮すべきだと述べた。
パスキーはパスワードへの依存を削減する一方、当局は、パスワードリセットやアカウント回復フローなどのより弱いプロセスが、適切に保護されていない場合、リスクをもたらす可能性があると述べた。
採用の課題は残る
NCSCはパスキーはまだ普遍的にサポートされていないと述べ、パスキーが使用できない場合はパスワードマネージャーと多要素認証を推奨している。
「特定のサービスがパスキーをサポートしていない場合、NCSCの消費者へのアドバイスは、パスワードマネージャーを使用してより強力なパスワードを作成し、二段階認証を使い続けることです」とNCSCはブログポストで述べた。
Van der Houtは、実装上の課題が考えられ、特に複数のプラットフォームとユーザー環境全体で動作する組織では可能性があると述べた。
「レガシーシステムと断片化されたアイデンティティ環境は重大な障害をもたらします」と彼女は述べた。
彼女は、組織は非人間のアイデンティティも考慮する必要があると付け加えた。「マシンアイデンティティレイヤーを無視するパスキー戦略は、新しいセキュリティギャップを生じさせるでしょう」と彼女は述べた。
デバイス要件とアカウント回復プロセスもパスキーがどのように展開されるかに影響する可能性があると彼女は述べた。
移行中はハイブリッドモデルが予想される
パスワードからの完全な移行は近期では起こりそうにないと分析家は信じている。
「数年間続くハイブリッドモデルを予想してください」とvan der Houtは述べ、組織がパスキーと従来の認証方法の両方をサポートし続けると述べた。
この期間中、組織は複数のログインオプション全体で認証を管理しながら、フォールバック方法が全体的なセキュリティを低下させないことを確認する必要があると彼女は付け加えた。
NCSCも同様にパスキーがまだ利用できない場所で強力な認証慣行を維持するよう勧告した。
ポリシーシグナルはパスワードレスログインへの転換を強化する
このガイダンスは、消費者認証でパスワードから遠ざかるための広範な取り組みに追加される。
「このガイダンスは、セキュリティリーダーにレバレッジを与えるため重要です」とvan der Houtは述べ、ベンダーと内部ステークホルダーとの議論を含むと述べた。
NCSCは、フィッシング耐性認証への移行は、特にユーザーログイン認証情報に依存するサービスで、サイバー侵害の主要な原因を削減できると述べた。
