エンタープライズアプリケーションとウェブサイトの開発者はパスキーを理解する必要があります。英国のサイバーセキュリティセンター(NCSC)は、フィッシングと認証情報の再利用に対する耐性があることを推奨しており、パスワードは本質的に脆弱であると警告しています。
英国のサイバーセキュリティセンター(NCSC)は、パスキーを企業が消費者に提供するデフォルトの認証方法として推奨しており、業界の進展によってパスワードよりも安全でユーザーフレンドリーな代替手段になったと指摘しています。
今週公開されたブログ投稿で、同機関はパスキーが一般向けと企業向けの両方に主要な認証方法として推奨できるようになったと述べています。
「パスキーは消費者のログインの第一選択肢となるべきだ」と英国のサイバーセキュリティ当局はブログ投稿で述べ、パスワードは「現代の世界には十分な耐性がもはやない」と付け加えています。
「パスキーはオンラインアカウントにログインするための新しい方法で、ユーザーのために多くの作業を行い、パスワードを入力する必要ではなくユーザーの承認のみが必要です。これによりパスキーはより迅速で使いやすく、サイバー攻撃者が侵害するのがより困難になります」とNCSCはブログで述べています。
同機関はパスキーがサポートされている場所であればどこでも使用すべきだと述べ、フィッシングに耐性があり、パスワード再利用に関連するリスクを排除すると説明しています。
フィッシング耐性のある認証に焦点
このガイダンスは、認証方法が実世界の攻撃にどのように対抗するかについての同機関の評価に基づいています。
NCSCは、その分析がフィッシング、認証情報の再利用、セッションハイジャッキングなどの一般的な技術を検査し、作成と保存から使用まで、認証情報がそのライフサイクル全体でどのように公開されるかを評価すると述べています。
「パスキーはフィッシング攻撃に耐性があり、パスワード再利用に関連するリスクを排除します」と同機関は述べています。
付随する技術論文において、NCSCはワンタイムコードと組み合わせたパスワードを含む従来の認証方法は「本質的にフィッシング可能である」と述べています。
対照的に、パスキーなどのFIDO2ベースの認証情報は「野生で観察されるすべての一般的な認証情報攻撃に対して従来のMFA以上に安全である」と同機関は述べています。
しかし、NCSCは技術論文で「このペーパーの分析の多くはエンタープライズ認証シナリオ(例えば、シングルサインオンに対して認証するスタッフ)にも適用されますが、異なる脅威モデルと使用シナリオは、このペーパーがエンタープライズリスク評価を対象としていないことを意味する」と警告しています。
パスキーが攻撃モデルをどのように変えるか
NCSCは、パスキーが共有シークレットへの依存を排除し、認証を正当なサービスに結合することによってリスクを軽減すると付け加えています。
同機関によると、これは認証がインターセプトされ、攻撃者によって再利用されることができないため、認証情報の再利用とリレー攻撃を防ぎます。
パスキーはユーザーのデバイスに保存された暗号化キーペアを使用し、認証は生体認証またはPINなどのデバイスベースの検証に結合されると同機関は述べています。
ユーザーレベル認証の転換
顧客にオンラインサービスを提供する組織にとって、このガイダンスはユーザーインターフェイスレベルで認証がどのように実装されるかの転換を示しています。
「これは段階的な認証アップグレードではなく、根本的なアーキテクチャの変更です」とフォレスターのシニアアナリスト、マデレイン・ファン・デル・ハウトは述べています。「組織がパスワード+MFAパラダイムを超えて、フィッシング耐性のある基盤へ移動させます。」
ファン・デル・ハウトはパスキーが共有シークレットではなくデバイスバウンドの暗号化認証を使用することで、認証情報盗難に関連するリスクを排除すると述べています。
「これを認証情報の交換として扱う組織は過小投資になるでしょう」と彼女は言いました。「これをより広いアイデンティティ近代化の機会として扱う組織は先に進むでしょう。」
NCSCは、組織はアカウント回復とフォールバック機構を含む、ユーザージャーニー全体を通じて認証がどのように実装されるかを検討すべきだと述べています。
パスキーはパスワードへの依存を軽減する一方で、同機関はパスワードリセットやアカウント回復フロー等の弱いプロセスが、適切に保護されていなければリスクをもたらす可能性があると述べています。
採用上の課題が残される
NCSCはパスキーはまだ普遍的にサポートされておらず、パスキーが使用できない場合はパスワードマネージャーと多要素認証を推奨すると述べています。
「特定のサービスがパスキーをサポートしていない場合、消費者へのNCSCのアドバイスはパスワードマネージャーを使用してより強力なパスワードを作成し、二段階認証を使い続けることです」とNCSCはブログ投稿で述べています。
ファン・デル・ハウトは実装上の課題が可能性があると述べており、特に複数のプラットフォームとユーザー環境で操作している組織では可能性があると述べています。
「レガシーシステムと断片化されたアイデンティティ環境は重大な障害物です」と彼女は言いました。
彼女は、組織は非人間アイデンティティも検討する必要があると付け加えました。「マシンアイデンティティレイヤーを無視するパスキー戦略は新しいセキュリティギャップを作成するでしょう」と彼女は述べています。
デバイス要件とアカウント回復プロセスはパスキーがどのように展開されるかに影響を与えるかもしれないと彼女は述べています。
遷移中にハイブリッドモデルが予想される
アナリストたちはパスワードからの完全な移行は近い将来起こりそうにないと信じています。
「数年続くハイブリッドモデルを期待してください」とファン・デル・ハウトは述べており、組織がパスキーと従来の認証方法の両方をサポートし続けるとしています。
この期間中、組織は複数のログインオプション全体で認証を管理する必要があり、フォールバック方法が全体的なセキュリティを弱めないことを保証する必要があると彼女は付け加えました。
NCSCは同様に、パスキーがまだ利用できない場所で強力な認証慣行を維持するようアドバイスしています。
政策シグナルはパスワードレスログインへの転換を強化する
このガイダンスは消費者認証でパスワードから遠ざかるためのより広い取り組みに追加されます。
「ガイダンスが重要なのは、セキュリティリーダーにレバレッジを与えるからです」とファン・デル・ハウトは述べており、ベンダーと内部ステークホルダーとの議論も含まれています。
NCSCはフィッシング耐性のある認証に向かって移動することはサイバー侵害の主な原因を軽減する可能性があると述べており、特にユーザーログイン認証情報に依存するサービスでは可能性があります。
