1Passwordの最高製品責任者であるスティーブ・ウォン氏は、認証情報の盗難は蔓延しており、悪化の一途を辿っていると述べています。LastPassもその証拠です。皮肉なことに、2022年12月、脅威アクターがLastPassのDevOpsエンジニアの認証情報を盗み出し、暗号化されていない保管庫へのアクセスを許可しました。
ジャンプ先:
- 資格情報の盗難を防ぐための1-2-3ルール
- 暗記を減らすことで脅威を軽減
- 「簡単ではない」は資格の解決策ではない
- それほど長くないゲーム:パスワードを完全に排除する
- パスキーの重要な期間
- 開発者ファーストの認証情報革命へのロードマップ
ウォン氏は、この傾向は今後も続くと予測し、IBMの2022年版データ侵害コストに関するレポートで、認証情報の漏洩が主要な攻撃ベクトルとして指摘されている点を指摘しています。また、レポートでは、盗難された認証情報が侵害の19%を占め、組織に平均450万ドルの損害を与えていることも明らかになりました。これは、データ侵害による企業1社あたりの平均コストよりも15万ドル高い額です。
TechRepublicは、認証情報の脆弱性、暗号化キー、金庫、そして今後の動向についてウォン氏にインタビューしました。このトランスクリプトは簡潔にするために編集されています。
資格情報の盗難を防ぐための1-2-3ルール
カール・グリーンバーグ:今日、資格情報の盗難はどれほど重大な脅威なのでしょうか?
スティーブ・ウォン:率直に言って、認証情報のフィッシングは最も簡単な攻撃ベクトルです。特に過去12~18ヶ月の間に、MFA(多要素認証)攻撃や銀行のOTP(ワンタイムパスワード)コードのリプレイ攻撃は、攻撃者にとってますます容易になっています。
カール・グリーンバーグ:パスワード マネージャーは、このような事態、あるいは LastPass が被ったような不幸からどのように保護するのでしょうか?
スティーブ・ウォン:1Passwordではゼロ知識システムを採用しており、可能な限りクライアント側でローカル処理を行い、暗号化されていない状態で情報を保存しません。クライアントはデバイス上でローカルに復号化処理を行います。さらに、秘密鍵モデルを採用しており、パスワードまたは生体認証に加えて、登録時に機械生成の固有コードを取得します。このコードについては、私たちは一切の知識を持ちません。
参照:ハードウェアキーによるフィッシング不可能なモバイル MFA (TechRepublic)
カール・グリーンバーグ:つまり、セキュリティの重要な側面は、パスワード マネージャー側のゼロ知識ということですか?
スティーブ・ウォン:ゼロ知識認証と、当社側では暗号化された情報と生成された秘密鍵のみを確認できる仕組みを組み合わせることで、防御の厚みが増します。万が一、標的となった場合でも、お客様の情報は保護されます。加入時に加入者と共有する主要文書については、1-2-3ルールに基づくバックアップを推奨しています。ローカル、クラウド、そして別の物理的なデバイスです。秘密鍵のバックアップも同様です。
暗記を減らし、知識をゼロにすることで脅威を軽減
カール・グリーンバーグ:キーロガーなどの技術を使用してキーストロークを盗む攻撃があったとしても、ほとんどの場合、セキュリティは基本的に技術的な問題ではなく、ソーシャルエンジニアリングの問題なのでしょうか?
スティーブ・ウォン:そうですね、こう言わせてください。多くの安全保障政策は公衆衛生から多くを学ぶことができます。そして、公衆衛生の観点から最も効果的なことは何でしょうか?それは、難解な健康管理ではなく、良好な衛生習慣と手洗いです。基本的なことです。
セキュリティに関して言えば、Windows 95の初期のウイルス騒動の起源を思い起こせば、攻撃は非常に巧妙なものだと思われていました。しかし実際には、大抵は認証情報の盗難に過ぎません。パスワードは推測で推測されることが多く、例えば複数のサービスでパスワードを使い回していると盗難が容易になります。実際、これが最も一般的な攻撃経路なのです。
カール・グリーンバーグ:理想的には、パスワード マネージャーは、行動の変化だけに頼ることなく、セキュリティの底上げを図りますよね?
スティーブ・ウォン:私のキャリアは、セキュリティ対策の底上げをいかに図るかという点に大きく依存してきました。パスワードマネージャーは、まさにその基本を正しく実現するものです。つまり、機械がパスワードを生成し、そのパスワードが一意であることが保証されるようにすることです。ユーザーはパスワードを全く知らない状態でも、すべての認証情報を、使用しているデバイス間で利用可能な方法で同時に保護します。つまり、パスワードを手動で入力したり記憶したりする必要がなくなり、脅威ベクトルが大幅に低減されます。
「簡単ではない」は資格の解決策ではない
カール・グリーンバーグ:ソーシャル エンジニアリングに関して、概してまだ自分自身を守るのがあまり上手ではない個人がセキュリティ対策を採用するのを妨げているものは何でしょうか。
スティーブ・ウォン:セキュリティは、以前よりも格段に簡単になった場合にのみ採用されます。私のお気に入りの例は、携帯電話のTouch IDです。Touch ID以前はPIN(個人識別番号)が使われていましたが、それを使用している人は3分の1にも満たなかったのです。生体認証が利用可能になると、その割合は85%にまで高まりました。
カール・グリーンバーグ:ほとんどの人にとってセキュリティが簡単になるのは良いことですが、脅威が進化するにつれて、パスワードはますます長くならざるを得なくなるだろうと指摘する人も複数います。
スティーブ・ウォン:同意できるかどうかは分かりません。データによれば、パスワードを頻繁に変更させることに大きなメリットはないようです。NIST(米国国立標準技術研究所)でさえ、この点に関する推奨事項を進化させているところだと思います。
参照:パスワードマネージャーの不適切な使用は個人情報盗難の危険にさらす(TechRepublic)
カール・グリーンバーグ:しかし、本質的には、脅威の主体がブルートフォース攻撃のためにパスワードをより速く循環させる方法を見つけるにつれて、長くてわかりにくいパスワードが必須になるのではないでしょうか。
スティーブ・ウォン:まず、パスワードマネージャーはパスワード管理に最適な方法です。システムがパスワードを生成し、それをすべてのデバイスにインストールすることで、誰でもパスワードにアクセスできます。次に、これはゼロサムゲームではありません。最終的な目的は、パスワードを使いにくくすることではなく、完全になくすことです。完全に。
それほど長くないゲーム:パスワードを完全に排除する
Karl Greenberg : パスワードに代わる認証オプションにはどのようなものがありますか? また、それはいつ実現する予定ですか?
スティーブ・ウォン:共有秘密の概念は、チャレンジ トークンを使って自分たちがローマ兵士であることを証明したローマの百人隊長にまで遡ります。
ウェブファーストの世界に移行するにつれ、共有秘密鍵という概念は、ある程度、時代遅れになりつつあります。私はこれまでFIDOアライアンスでキャリアを積んできました。当初はUSBセキュリティキー、次にWeb認証、そして現在は公開鍵暗号の原理に基づいた固有のトークンであるパスキーに焦点を当てています。公開鍵と鍵が一致することで認証が可能になります。
Karl Greenberg : ユーザー エクスペリエンスの観点から、これによって検証はどのように簡素化されるのでしょうか。
スティーブ・ウォン:これが生体認証の仕組みであり、だからこそ私たちは人々にデバイスの画面ロックを導入してもらうことができたのです。この認証情報は持ち運ぶことができないため、フィッシング攻撃の手口を排除できます。つまり、トークンを盗んで使用することはできませんし、私もあなたのトークンを盗んであなたになりすますことはできません。これにより、攻撃者があなたを狙う最も便利な手段を排除できるのです。
パスキーの重要な期間
カール・グリーンバーグ: パスワードからパスキーに移行する時期について、どのようにお考えですか?
スティーブ・ウォン:私たちはパスワード不要の未来に向けてゆっくりと準備を進めており、今は18ヶ月という重要な時期にあると考えています。Appleは最近、Ventura、iOS 16、Safari 16でパスキーのサポートを発表し、実装しました。Googleも近々、次期Androidでパスキーをサポートする予定です。Microsoftは、EdgeとWindowsエコシステム、そしてパスキーを採用しているプラットフォーム全体でパスキーを利用できるように取り組んでいます。
カール・グリーンバーグ:ソフトウェア大手によるこうした動きにはどのように対処してきましたか?
スティーブ・ウォン:まさにそれが、昨年秋にPassage(開発者重視のパスワードレス認証会社)を買収した理由です(図B)。同社の目標は、ユーザーがパスワードレス認証情報を自社のスキーマに簡単に実装できるようにすることです。異なるOSエコシステム間で認証情報を使用するという課題は今後も存在し続けるでしょう。使用するデバイスだけでなく、自分のアイデンティティにも認証情報を結び付けるにはどうすれば良いのでしょうか?
図B
カール・グリーンバーグ:そうですね。それが実現しなければ、人々は使わなくなるでしょう。これは私の個人的な経験から言えることです。パスキーの普及において、ユーザー側から見てどのような課題があるのでしょうか?
スティーブ・ウォン:パスキーのユーザーエクスペリエンスが不均一になるのではないかと懸念しています。例えば、Macユーザーなど、パスキーを導入した人がWindowsゲーミングPCに移行した際に、Microsoftがサポートしていないとしたらどうでしょう。これは非常に不快な体験です。だからこそ、私たちは、人々がパスキーの移行をスムーズに進められるよう支援する上で重要な役割を担っているのです。また皮肉なことに、パスキーはパスワードやMFAよりも手間がかからないという事実自体が問題となる可能性もあります。FIDOの調査によると、パスキーは簡単であるがゆえに、安全だとは考えられていないという結果が出ています。
カール・グリーンバーグ:この分野で先駆者となるとリスクがあるでしょうか?
スティーブ・ウォン:セキュリティにおいては第一印象がすべてです。iPhoneが登場する2年前には、指紋センサーを搭載したマトリックスフォンがありましたが、これはあまり良いものではありませんでした。1週間も経たないうちに、誰かが指紋のプリントアウトを使ってハッキングしました。もしiPhoneに同じ問題があったらどうなるでしょうか?生体認証への信頼にどれほどの取り返しのつかないダメージを与えていたでしょうか?ですから、パスキーではそのような事態は避けなければなりません。
開発者ファーストの認証情報革命へのロードマップ
カール・グリーンバーグ:つまり、長期的にはパスワードを完全に廃止するということですね。それにはどれくらいの時間がかかりますか?近い将来に実現する可能性はありますか?
スティーブ・ウォン:それが目標ですが、現実的には20年かかる道のりになると思います。5年後にはメールのパスワードがなくなるといいのですが、それは世界中のメールユーザーの半数以上です。攻撃の経路がなくなることを想像してみてください。生活がどれほど楽になるか。
参照:新たなサイバーセキュリティデータにより、ソーシャルエンジニアリングの脆弱性が根強く残ることが明らかに(TechRepublic)
Karl Greenberg : 資格情報分野を進化させるための今年の計画は何ですか?
スティーブ・ウォン:私たちは非常に野心的なロードマップを持っています。昨年末、Passageの買収に伴い、「Passkeys.Directory」というオープンサービスを発表しました。これは、PayPalなど、パスキーを早期に導入したサイトのカタログです。先週は、パスワードの代わりにパスキーと生体認証でアカウントのロックを解除できるようにし、Vaultの認証情報が盗まれるリスクを排除することを発表しました。
私たちは開発者の参加も期待しており、パスキー用の Rust クレートをオープンソース化する予定です。エコシステム全体をそこに移行する必要があるためです。
次に読む: 2022年のベストエンタープライズパスワードマネージャー8選 (TechRepublic)
