8月3日、1Password Blogで「2024年の最も安全でない認証方法と最も安全な認証方法(2024's Least and most secure authentication methods)」と題した記事が公開された。この記事では、2024年における様々な認証方法の安全性について詳しく紹介されている。
以下に、その内容を要点を絞って紹介する。
認証方法の基本要素
認証方法は、大きく3つの要素に分類される。
- 知識要素: パスワード、PIN、セキュリティ質問など、ユーザーが知っている情報。
- 所持要素: セキュリティカード、外部ハードウェアキー、デバイス自体など、ユーザーが持っている物。
- 存在要素: 指紋リーダー、顔認証などの生体認証。
認証のベストプラクティスは、複数の要素を組み合わせた多要素認証(MFA)を導入することである。MFAの目標は、2つ以上の要素を組み合わせることで、攻撃者が単一の攻撃ベクトルを使ってアクセスするのを防ぐことである。
最も安全でない認証方法: パスワード
パスワードの長所と短所
パスワードは、多くのユーザーにとって馴染みがあり、展開が簡単であるという利点がある。しかし、多くの攻撃に対して脆弱であり、攻撃者にとって魅力的なターゲットである。1961年に初めてコンピューターパスワードが導入されて以来、パスワードは一貫して最も一般的な認証方法として利用されているが、その脆弱性も明らかである。
パスワードの脆弱性
- ソーシャルエンジニアリング攻撃: フィッシングメールや偽サイトを利用してユーザーの資格情報を盗む。2021年には86%の組織が少なくとも一人の従業員がフィッシングメールをクリックしたことがあると報告している。
- ブルートフォース攻撃: 弱いパスワードを推測するか、既知の資格情報を複数のサイトで試す攻撃。リモートアクセスプロトコルに対する最大の脅威である。
- パスワードストレージの侵害: 資格情報が適切に暗号化されていない場合、盗まれるリスクがある。
- 中間者攻撃: 通信チャネルをハイジャックしてパスワードを盗む。
パスワードを使った多要素認証(MFA)
パスワードを完全に廃止するのは現実的ではないが、少なくとも他の知識要素と組み合わせるのは避けるべきである。パスワードとセキュリティ質問を組み合わせるのは、セキュリティ質問がさらに脆弱であるため、推奨されない。
一回限りのパスワード(OTP)
OTPの利点と欠点
一回限りのパスワード(OTP)は、ユーザーが特定のアクションを実行する際に使用される動的なコードである。OTPは、以下の方法で提供されることが多い。
- SMS: 簡単に利用できるが、攻撃に対して脆弱。
- メール: 広範な攻撃面を持つ。
- 認証アプリ: より安全だが、ユーザーが別のデバイスを持ち歩く必要がある。
- ハードウェアセキュリティトークン: 最も安全だが、物理的なデバイスが必要。
OTPは、特にSMSやメールで送信される場合、攻撃に対して脆弱である。たとえば、SIMスワップ攻撃では、攻撃者が被害者の電話番号を別のSIMカードに切り替えるよう携帯電話会社を説得する。また、SMSの送信プロトコルに存在する脆弱性を利用して、テキストメッセージを傍受することも可能である。
生体認証
生体認証の利点と欠点
生体認証は、ユーザーが持っているものではなく、ユーザー自身が認証手段となるため、盗難や紛失のリスクが少ない。指紋リーダーや顔認証は、多くのデバイスに内蔵されており、ユーザーにとって便利である。
しかし、生体認証にはプライバシーの懸念もある。生体データが一度漏洩すると、パスワードのように簡単にリセットできない。また、低技術のバージョンは偽造される可能性がある。
指紋認証
指紋認証は、デバイス上に保存されたユーザーの指紋データを使用して認証を行う。新しい超音波スキャナーは、従来の光学スキャナーよりも安全である。
顔認証
顔認証は、初期の2D顔認証よりも進化しており、現在では3D顔認証が一般的である。3D顔認証は、写真ではなく、ユーザーの顔の立体的な地図を使用して認証を行う。
ハードウェアキー
ハードウェアキーの利点と欠点
ハードウェアキーは、外部デバイスを使用して認証を行うため、中間者攻撃やフィッシングに対して非常に強力である。FIDOキーなどのハードウェアキーは、物理的な接続を必要とし、暗号化されたMFA認証コードを生成する。
しかし、物理的なデバイスを持ち歩く必要があり、紛失した場合の再発行が手間である。
デバイス認証
デバイス認証の利点と欠点
デバイス認証は、ユーザーのデバイスが信頼できるかどうかを確認する方法である。証明書ベースの認証(CBA)は、デバイスがデジタル証明書をサーバーに提示し、相互認証を行う。CBAは非常に安全であり、エンドポイント接続やIoTデバイスにも使用できる。
なぜ多要素認証が必要か
多要素認証(MFA)は、単一の認証方法の脆弱性を補完するために不可欠である。現代のサイバー攻撃は高度化し、多様化しているため、単一の認証方法では不十分である。例えば、パスワードだけではフィッシングやブルートフォース攻撃に対して脆弱であり、生体認証だけでは偽造やプライバシーの懸念がある。
MFAは、複数の要素を組み合わせることで、これらの脆弱性を補完し、セキュリティを強化する。攻撃者が一つの要素を突破しても、他の要素が存在するため、システムへの侵入が難しくなる。また、MFAはユーザーの認証体験を向上させることができる。例えば、パスワードと生体認証を組み合わせることで、ユーザーはパスワードを覚える負担が減り、認証が迅速かつ簡単になる。
さらに、MFAはゼロトラストセキュリティモデルの重要な一環である。ゼロトラストモデルでは、すべてのアクセス要求を検証し、信頼できるデバイスとユーザーだけがシステムにアクセスできるようにする。これにより、内部および外部の脅威からシステムを保護することができる。
総じて、多要素認証は、現代のセキュリティ環境において、最も効果的な防御策の一つである。セキュリティの向上とユーザーの利便性を両立させるために、組織はMFAの導入を積極的に検討するべきである。
詳細は[2024's Least and most secure authentication methods]を参照していただきたい。
生体認証は、その独自性と再現の複雑さから、最も安全な技術の 1 つと考えられています。しかし、プライバシーの問題や生体認証データの盗難やなりすましの可能性など、危険がないわけではありません。boxing random