パスワードレスは多要素認証ではない

By Thi Nguyen-Huu

マシンはユーザをどのように認証しているのでしょうか？IT セキュリティプロフェッショナルは、通常、多要素認証（MFA）で、ユーザが知っていること、ユーザが持っているもの、そしてユーザのアイデンティティを要素として組み合わせて使用します。複数の要素を組み合わせることで、認証を強化できることから、多要素認証は今では推奨されるようになりました。

ノートパソコンの場合、マシンはパスワード（ユーザが知っていること）を入力させ、物理的なトークン（ユーザが持っているもの）を挿入し、指紋や顔認証（ユーザのアイデンティティ）をチェックします。

では、マシンがリモートサーバの場合はどうなるでしょうか？リモートサーバは、通常、物理トークンが挿入されているかどうか、指紋が一致しているかどうかを確認することはできません。サーバサイドのバイオメトリクス照合は、多くの理由からその効果が疑われています。その理由については、https://noknok.com/blog-post/the-anti-pattern-of-server-side-biometric-secrets/ を参照してください。サーバがユーザを認証する場合、「ユーザが知っていること」や下記のように「ユーザが持っていることをデバイスが知っていること」に相当するデータを使用するしかありません。

「ユーザが知っていること」が他の誰も知らないことであれば、まったく問題はありません。しかし、サーバもそれを知らなければならない場合（たとえば比較のためなど）、理想的な識別要素ではなくなります。この問題を解決するのが非対称鍵暗号技術です。サーバはユーザの公開鍵を使って認証を検証しますが、ユーザだけが持っている秘密鍵、より正確には、（認証する）デバイスだけが知っている秘密鍵を持つことはありません。これはもはや「ユーザが知っていること」ではなく、「ユーザが持っているもの（デバイスが誰も知らない秘密鍵を持っている）」状態です。

注：非対称鍵ベースの認証は、もともとは第 2 要素として設計されていましたが、これを使用することで、「第 1 要素」であるユーザパスワードはほとんど無意味になります。非対称鍵暗号の強度を考えると、パスワードの不適切な共有秘密鍵や生体認証と比較すれば、現実的に、リモート認証で使用できる唯一の「要素」は「ユーザが持っているもの」、たとえば「（ユーザが持っている）デバイスが知っていること」と言えます。ユーザが知っていることとユーザのアイデンティティによって、リモートサーバでの認証の強度は変わるわけではないので、MFA はここでは重要ではありません。

「パスワードレス認証」は業界を席巻しています。ウィンマジックは、パスワードレス認証により、企業や組織にとって近年解決し難い大きな問題となっていたなりすましや、アカウントの乗っ取りを大幅に減らすことができると考えています。「パスワードレス」の定義を明確にできれば、この概念をさらに発展できるはずです。

ウィンマジックは次のように考えています。

業界で今話題のバズワードである「パスワードレス認証」は、ローカルデバイス（ラップトップなど）ではなく、リモートサーバに対する認証で使用されるものです。
この業界の取り組みで最も重要なのは、ネットワークのリモート認証が、ネットワーク上の攻撃者が自分のコンピュータを使用して攻撃できない安全なプロトコルを使用することです。現在、プロトコルは非対称鍵ベースである必要があり、これはユーザが所有するデバイスによって実行されます。
認証の際には、ユーザはすでにそのデバイスを使用しているかもしれませんが、それは自分のコンピュータかもしれません。したがって、ユーザの行動は、むしろ認証時に「ユーザであること」やそのユーザの存在を確認するためのローカルジェスチャーとなります。これらのローカルジェスチャーはリモート認証の強度には影響を与えないため、MFA とはみなされません。
MFA は、ローカルデバイスへの認証、すなわち (ローカルの) OS へのログオンや解読して OS を起動するプリブート認証 PBA に適用されます。
現在のパスワードレス認証については、混乱があったり、定義が曖昧になったりしています。今後、業界が進歩するにつれて明確になっていくはずです。企業は、MFA が必ずしもパスワードレス（リモート）認証に関連しているわけではないことを理解しておくべきです。また、コンピュータ自体が認証デバイスとして最適な選択であり、ウィンマジックのパスワードレス認証ソフトウェアを使うことでリモート認証に追加のトークンは不要になります。
ウィンマジックは、プリブート認証のための非常に広範な MFA を提供しています。ウィンマジックは、高いセキュリティを求めているお客様には、必要に応じて MFA を使用することをお勧めしています。また、コンピュータを 2FA として使用するオプションも提供していますが、これはパスワードレスの取り組みを容易にする最もシームレスな方法となります。

おすすめ

デバイスのオーナー変更が簡単に行えるようになりました

暗号化で、操作性や利便性は犠牲になる？

ディスク暗号化とTPM（セキュリティ考察）