パスワードはもう不要 — パスキーがパスワードをどのように置き換えるか

May 15 2023
曖昧さを避けるために、次の用語が使用されます。認証者; ログイン Web サイトの作成に使用されている携帯電話。ユーザーがログイン要求サービスを行うために使用している Web サイトまたはアプリケーション。特定のサービスを提供するベンダー。例:

曖昧さを避けるために、次の用語が使用されます。

認証者; ログインに使用されている携帯電話

ウェブサイト; ユーザーがログイン要求を行うために使用している Web サイトまたはアプリケーション

サービス; 特定のサービスを提供するベンダー (例: Google Mail、Microsoft Outlook)

パスワードに関する問題は何ですか?

パスワードはインターネットの使用と同義であり、電子メール、ソーシャルメディアアカウントにログインしたり、銀行残高を確認したりするために使用されます。各サイトには、「良い」とは何かという独自の定義があり、「良い」複雑なパスワードを設定するように注意してください。

こうした取り組みにもかかわらず、多くのユーザーが弱いパスワードやアカウント間で同じパスワードを使用しているため、パスワードは依然として弱点です。多くの場合、フィッシングとして知られる、本物のサービスを装った Web サイトの被害に遭います。これは、ユーザーが本物であると信じているリンクをクリックする場所ですが、実際には、ユーザーのパスワードを盗むために作成された偽の Web サイトです。

非常に優れた偽の「フィッシング」Web サイトは、MFA タイプがフィッシング攻撃に耐えるように設計されていない場合、ユーザーをだまして多要素認証 (MFA) に誘導する可能性もあります。ただし、MFA をまったく持たないよりは、MFA を持った方が良いです。

パスキーとは何ですか

パスキーはパスワードの代わりとなり、フィッシング攻撃に耐えられるように設計されています。また、ユーザーにとってログイン プロセスがはるかに簡単になるだけでなく、安全性も高まります。

Batool を例に挙げてみましょう。彼女はパスワードを使用して Gmail アカウントにログインしています。パスキーに移行すると、指紋または顔を使用してログインできるようになります。彼女がパスキーを使用できない場合に備えて、パスワードは代替手段になります (パスワードは最終的にある時点で廃止されます)。

パスキーは、パスフレーズの代わりに、秘密鍵と公開鍵の概念を使用します。Batool は、携帯電話によってシームレスに作成、保存、管理される秘密鍵を持っています。これは、認証アプリ経由またはオペレーティング システム内で行われる可能性があります。

Batool の携帯電話は、Gmail.com でのパスキー作成の一環として、新しい公開キーを Gmail に自動的にアップロードする方法を知っています。

Gmail は Batool の公開キーを知っているため、Batool に携帯電話のロックを解除し、秘密キーを使用して署名するよう要求することで、それが自分のものであることを確認するよう要求します。

これらすべては Gmail.com と彼女の携帯電話の間でバックグラウンドで行われるため、Batool さんは通常のように指紋または顔による生体認証によるロック解除を使用することだけを気にする必要があります。多数の異なる Gmail.com アカウントを設定している場合、どのパスキーを使用するかを選択する必要がある場合があります。

偽の Web サイトには Batool の公開キーがないため、彼女はサインインできないため、現在ではそれほど脅威ではありません。秘密キーが彼女の携帯電話から離れることはないことに注意してください。

では、Batool はどのようにしてパスワードからパスキーに移行するのでしょうか?

以下の図は、Batool が Gmail アカウントのパスワードの使用からパスキーの使用にどのように移行するかを示しています。

Batoolはパスキーを作成します

1- Batool は、ユーザー名とパスワードを使用してサービス (Gmail) にログインします。

2- Gmail はパスキーをサポートするようになりました。パスキーを作成するリクエストが Batool に送信されるか、 g.co/passkeysを参照する必要がある場合があります。

3-パスキーを作成するための通知が表示されます。

4- Batool はパスキーを作成することを選択し、生体認証オプションを使用して携帯電話のロックを解除するように求められます。これにより、彼女の携帯電話は Gmail.com 用の新しいパスキーを安全に作成し、安全に保存できるようになります。

5-秘密キーはユーザー プロファイルにバインドされ、デバイス間で同期されます。この例では、Batool は iPhone を使用しているため、iCloud を使用して同期される可能性があります。ただし、別のベンダーでは、Microsoft Authenticator や Google Password Manager などの代替方法が使用されている場合があります。

6 - 対応する公開キーが Gmail に送信されます。

7- Googleのみがこの公開キーを保存し、今後のログイン試行で Batool からの署名を検証するために使用されます。

Batool が指紋や顔を使用してパスキーを使用している間、これはデバイスのロックを解除したり、オンライン バンキングにログインしたりするのと同じです。彼女の指紋や顔のデジタル表現は決して携帯電話から離れることはなく、携帯電話内に暗号化されて保存され、外部に取り出すことはできませ。 Gmail またはデバイスの製造者 (Apple や Android など) によってアクセスされます。

Batool にはパスキーがありますが、ログインプロセスはどのように機能しますか?

以下の図は、Batool がパスキーを使用して Gmail アカウントにログインする方法を示しています。

Batool はパスキーを使用してログインします

1- Batool は、特定のサービス (この場合は Gmail) のログイン Web サイトを参照します。

2- Batool は以前に Gmail のパスキー (上記を参照) を作成しているため、Gmail サービスからチャレンジが送信されます。

3-チャレンジは Batool の電話で受信され、サービスから利用可能なパスキーのリストとして表示されます。つまり、Batool が複数の Gmail アカウントを持っている場合、2 つのパスキーが表示されます。

4- Batool は Gmail アカウントのパスキーを選択し、生体認証を使用して携帯電話のロックを解除します。これにより、携帯電話で秘密キーを使用できるようになります。

5- Google からのチャレンジは、Batool の秘密鍵によって署名されます。

6-署名されたチャレンジが Google に送信され、Batool がログインしているという強い確信が得られます。

7 - Google は Batool の公開キーを使用してログインの成功を確認します。

今後 Google にログインするとき、Google は可能な限りパスキーを要求します。パスキーが利用できない場合でも、Batool は Google パスワードを使用できます。

これは、より多くのサービスがパスキーを採用するにつれて、パスキーへの段階的な移行の一環であり、パスワードのない未来が実現し、フィッシングに対する耐性が強化されることを期待しています。

Apple、Google、Microsoft は、パスキーの認知度と導入を促進するために協力しています。詳細については、こちらをご覧ください。

この記事をレビューしてくれたJoel SamuelAli Sarrafに感謝します。