毎日何兆件も発生するオンライントランザクションの背後にある構造上の欠陥 そして現在すでに実行可能な修正手段。

1日に何兆回も使用されているパスワードレス認証プロトコルには根本的な欠陥があります。その欠陥を修正することで、フィッシング、セッションハイジャック、およびAIを利用した攻撃を、ユーザー操作なしで排除することができます。これは、WinMagicの創設者兼CEOのThi Nguyen-Huuが何年も主張し続けてきた論点であり、最近Authority Magazineに掲載された新たな特集記事の核心です。

 

今日のパスワードレス認証の根本的欠陥とは?

ほとんどの組織は、すでにあるツールに新たなツールを付け加えることで、増大する脅威に対応します。多要素認証(MFA)プロンプトをさらに増やし、手順を増やして、ユーザーの手間と負荷を増やしているのです。Thiは、これは本末転倒であると論じています。欠陥のある土台の上にツールの層を積み上げて複雑にしても、セキュリティは確保できません。複雑さが増してコストが増大するだけです。

本当の問題は、業界がこれまでアイデンティティを適切に定義してこなかったことにあります。今日、誰かがシステムにログインすると、システムはユーザー本人(パスワード、指紋、顔)を検証します。その後、システムはその人のデバイスがアクセスすることを許可します。この2つはまったく別のことです。システムは1つのオブジェクトをチェックして、それとは別のオブジェクトを信頼しているのです。現代のあらゆる攻撃は、このギャップを足場にしています。

その修正は、たいていの人が予想するより簡単です。アイデンティティはデバイスを使用しているユーザーなのです。両方を合わせると1つの検証済みのオブジェクトになります。

 

パスワードレス認証だけでは不十分な理由

FIDOパスキーや生体認証を使ったログインに関して、業界は実際に進展を見せています。しかし、土台のセッションアーキテクチャがこれまでと同じである場合、パスワードレス認証でさえ足掛かりにすぎません。今日のTLSおよびFIDO規格は、ログイン後の脆弱な時間帯をセッションハイジャック、トークンのリプレイ、AIを悪用した認証情報攻撃に対して開放したままにしています。

Thiのビジョンは、単なるパスワードの排除にとどまりません。彼の長期モデルは、すべてのトランザクションがそれぞれアイデンティティの暗号学的証明を伴っているインターネットです。Cookieはありません。リプレイ可能なトークンもありません。ただ、デバイスに紐付いたリアルタイムで検証される継続的な信頼があるだけです。これは、オンラインの世界が最初から採用するべきだった手法です。

 

MagicEndpointがユーザー操作なしでパスワードレス認証を提供する方法

MagicEndpointは、Thiが述べている欠陥に対するウィンマジックの答です。ユーザーとデバイスを紐付けて単一の検証済みオブジェクトにするという仕組みで機能します。TPMの信頼の基点が、正当なユーザーが正当なデバイスを使用していることをリアルタイムで証明します。これにより、現在のプロトコルが放置しているアイデンティティギャップが解消されます。

MagicEndpointは、一度だけ検証してその後長いセッションを維持する代わりに、継続的かつイベントドリブンな検証を行い続けます。これは、「常に検証する」というゼロトラストの原則の適切な実装です。そして、この処理をすべてバックグラウンドでこなします。パスワードはありません。ワンタイムコードもありません。プッシュ通知もありません。強力なセキュリティと簡易なユーザーエクスペリエンスは相反するものではなく、両立することができます。

 

3年以内にセキュアインターネットを実現

Thiの最も野心的な主張は、普通の人々を悩ませているサイバーセキュリティ詐欺を3年以内に事実上排除できるというものです。もっと慎重になるようユーザーにさらなる注意を促す代わりに、各ユーザーの個人デバイスを、ThiがUniversal Sanctuaryと称する保護されたゲートウェイに変えることで、それを実現します。Universal Sanctuaryは、完全な暗号保証を伴うオンラインアクセスが手間なしで実行されるモデルです。

業界のこの方向への転換を促進するために、ウィンマジックは相互TLSの実装をオープンソース化しています。MagicEndpointは第一歩です。最終目標はセキュアインターネットです。

 

完全版のインタビュー記事

上記のアイデアは、Authority Magazineに掲載されたThi Nguyen-Huuの特集記事から抜粋されたものです。このオンライン雑誌は、これまでGoogle、Microsoft、LinkedInなどのリーダーたちへのインタビューを掲載してきました。完全版のインタビュー記事では、企業がデータプライバシーとサイバーセキュリティへのアプローチを強化するために必要な5つの転換について論じています。

ユーザー操作なしのパスワードレス認証の実践については、Authority Magazineのインタビュー記事を読むか、MagicEndpointの説明をご覧ください。

 

Thi Nguyen-Huu

President and CEO of WinMagic