Googleは月曜日、パスキー認証技術の有効性を検証しました。パスキーアクセスのオープンベータ版により、世界中の個人や組織がパスキーを使用してGoogle Workspaceにサインインできるようになります。Googleによると、現在900万の組織がWorkspaceを利用しています。
Google は他の多くの企業と足並みを揃え、パスワードから、フィッシング攻撃に耐性のある FIDO 標準 (FIDO2 と呼ばれる) に基づく公開/非公開の暗号化認証情報へと移行しています。
同社によると、パスキーは指紋や顔認証といったデバイス上の生体認証と連携する。パスキーはブラウザ間で利用可能で、ブラウザに依存せず、デバイス間での認証を可能にする。Googleによると、昨年春のデータによると、パスキーはパスワードよりも2倍高速で、エラー発生率は4分の1に抑えられるという。
パスワード不要のログインを可能にする暗号化システムの基盤となる公開鍵と秘密鍵では、暗号化された鍵はユーザーのデバイスに保存されるため、ユーザー自身がデバイスのロックを解除しない限り、有効にすることはできません。暗号化鍵はデバイスに保存され、公開鍵はGoogleにアップロードされます。
ジャンプ先:
- 業界の推進によりパスキーが2022年に実現
- パスワードマネージャーがパスキーに移行
- パスキーの欠点はほとんどない
業界の推進によりパスキーが2022年に実現
Google は昨年、Microsoft、Apple などとともに、パスキーのサポートを開始し、Fast Identity Online Alliance (通称 FIDO Alliance) および World Wide Web Consortium 標準の開発に参加すると発表した。
昨年のWWDC(世界開発者会議)において、Appleは今秋リリース予定の次期iOSにパスキーサポートを統合すると発表しました。今年は世界パスワードデーを前に、Google、Microsoft、Appleの3社がパスキーサポートを改めて表明し、Googleは主要プラットフォームのGoogleアカウントでパスキーサポートを開始しました。
参照:パスワードはもう古い。テクノロジー大手は世界パスワードデーを前にパスキー機能を展開 (TechRepublic)。
「パスキーは、ユーザーにセキュリティと使いやすさの面で大きなメリットをもたらします。この技術を中小企業や大企業から学校や政府機関まで、当社の顧客に提供できる最初の大手パブリッククラウドプロバイダーになれたことを大変嬉しく思います」と同社は声明で述べた。
パスワードマネージャーがパスキーに移行
IDアクセス管理企業は、パスキーのサポートに向けて体制を刷新しています。TechRepublicが先週報じたように、1Passwordはブラウザツールでパスキーのサポートを開始し、まもなく1Passwordの保管庫へのパスキーアクセスも可能にする予定です。今年のRSAカンファレンスで、1PasswordのCEOであるジェフ・シャイナー氏は、Googleのパスワードレスシステムへの移行が業界にとって大きな転換点となることを予見していたと述べました。
Cisco の Duo 認証プラットフォームでは、そのプラットフォームにパスキーベースの機能を多数導入しており、8 月には、Dashlane がセキュリティを最優先にしたパスワード マネージャーに統合パスキー サポートを導入し、初のブラウザ内パスキー ソリューションを発表しました。
4月のRSAカンファレンスで、Duoのゼロトラスト製品担当副社長、Iva Blazina Vukelja氏は、企業はパスワードからの脱却に非常に前向きであると語った。
「パスワードレス化には2つの大きな理由があります」と彼女は述べた。「企業のエンドユーザーにとって大きな障壁となるのは、その点です。プライベートプレビューを開始し、限られたエンドユーザーにパスキー認証を展開したところ、他の認証方法と比べて煩わしさが75%軽減されたというフィードバックをいただきました。『ぜひ展開してほしい』と彼らは言ってくれました。エンドユーザーも大変満足しています。」
FIDOアライアンスに加盟するDashlaneの製品エンジニアリングおよびイノベーション担当ディレクター、リュー・イスラム氏は、公開鍵/秘密鍵の基盤技術は長年存在していたと指摘した。しかし、パスキーへの移行を可能にした重要な出来事は、業界、特に「主要3プラットフォーム」が協力して標準規格に合意したことだとイスラム氏は述べ、Dashlaneでは現在、Chromiumベースの拡張機能を使ってパスキーを管理できると付け加えた。「昨年の夏からこの機能は搭載しています」とイスラム氏は付け加えた。「Android 14のリリースを待っており、当社のアプリは対応済みです」
パスキーの欠点はほとんどない
ユーザーが共有デバイス上でパスキーを作成すると、デフォルトでは、そのデバイスを使用できるユーザーは誰でも、そのデバイスへの生体認証サインオンが有効になっていると想定されるため、公開鍵/秘密鍵のハンドシェイクを使用して自分のアカウントにログインできるようになります。イスラム氏は、これにより、デバイスを共有する個人の鍵の保存場所に問題が生じる可能性があると述べています。
「共有デバイス上で、他の人のパスキーにアクセスできるのでしょうか? この問題にはいずれ解決策が見つかると思いますが、その方法がまだ明確ではありません。例えば、家族が共有のMacでパスキーを管理しているとします。OS自体に個別のユーザーアカウントを設定しない限り、家族全員が互いのパスキーにアクセスできてしまうのです」と彼は述べた。
Googleは、Googleアカウントのパスキーが設定されたデバイスを紛失し、デバイスのロックが解除されるのではないかと心配な場合は、アカウント設定ですぐにパスキーを取り消すことができると述べた。
Oktaは昨秋、管理者が組織レベルで新規登録時のパスキーをブロックできるパスキー管理機能を展開すると発表しました。この機能は、パスキーを使用する企業にとっての重要な問題、つまり、管理対象外のデバイスでサインオンする承認済みユーザーに対処するものです。
Oktaの従業員IDグループ製品マーケティングマネージャーであるムクル・ヒンジ氏は、パスキーとそれを実現するFIDO標準の概要を説明したブログ記事で、この機能について説明しました。ヒンジ氏によると、Okta ClassicとOkta Identity Engineのこの機能は、ユーザーが複数のデバイスでFIDO認証情報を使用して登録することを禁止し、管理されていない安全でないデバイスが機密性の高いアプリケーションにアクセスする潜在的なリスクを未然に防ぐとのことです。
彼は、例えば、組織のセキュリティ体制の要件を満たしていない、古くて脆弱なバージョンのiOSを搭載した管理されていないiPadから、機密性の高いアプリケーションにアクセスされる可能性があると説明した。「これは深刻なセキュリティ上の脆弱性です。管理者の立場からすれば、早急に対処する必要があります」と彼は述べた。
Appleなどの一部のプラットフォームでは、ユーザーは単一のパスキーで複数のアカウントにアクセスできます。Appleの場合、iCloudアカウントでは複数のAppleデバイス間でパスキーを共有できます。つまり、デバイスを紛失した場合でも、他のAppleデバイスのパスキーを使ってアカウントにアクセスできるのです。
