認証進化の歴史：パスワードから生体認証まで

この記事では、過去50年間の認証の進化を探ります。パスワードと2要素認証から、真のパスワードレスセキュリティとゼロトラストセキュリティの時代に至るまで、ユーザー認証が長年にわたってどのように変化してきたか、またそれがどこに向かっているかを確認します。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されています。

認証は共有秘密を超えて進化している

アカウント乗っ取り詐欺（ATO）のコストは過去2年間で倍増しています。悪意のあるログインがeコマーストラフィックの90％以上を占めています。クレデンシャルスタッフィング攻撃は史上最高であり、米国の銀行業界には毎日5000万ドルのコストがかかっています。英国の全企業の半数以上が、過去2年間でフィッシング攻撃の被害を受けました。

パスワード、多要素認証、セキュリティトークン、バイオメトリクスの間で、インターネットユーザーはデジタルIDを保護するためにこれまで以上に多くの方法を持っています。それでも、これらの統計は、毎年悪化するデジタルIDの問題の物語を伝えています。

パスワードは1960年代に発明されました。2019年に早送りし、世界の多くは、オンラインサービスとITリソースへのアクセスを保護するための50年前のテクノロジーに依然依存しています。より強力な2要素認証ソリューションは広く利用可能ですが、広く採用されていません。インターネットユーザーの10％未満。実際、Mary Meekerによる2019年のインターネットトレンドレポートは、2FAのグローバルな採用が実際には50％の低い範囲で停滞していると推定しています。

非常に多くの認証方法を使用すると、アカウント乗っ取りの統計情報は悪化するのではなく、向上すると考えられます。

共有秘密は常に問題だった

問題は、パスワード、2FA、レガシーの多要素認証ソリューションに共通することが1つあるということです。それらは共有シークレットに依存しています。つまり、ユーザーには秘密があり、中央の権限には同じ秘密が保持されます。認証時に、これら2つのシークレットが比較され、ユーザーアクセスが承認されます。悪意のあるサードパーティがシークレットを傍受すると、ユーザーになりすます可能性があります。

悪い知らせは、この共有シークレットへの依存が、アカウント乗っ取り（ATO）の急増の一因となっている一方で、フィッシング、資格情報の詰め込み攻撃、およびパスワードの再利用に対して脆弱な多数のユーザーを維持していることです。

良いニュース？デジタルアイデンティティの状況は急速に変化しつつあります。

信頼についての簡単な歴史…

パスワード

• 1961年：パスワードはFernando J. Corbatoによって発明された
• 1974年：Unix OSでの最初のハッシュ形式のパスワードストレージ
• 1998年：CAPTCHAとAdvanced Encryption Standard (AES)が公開された

ハードウェアセキュリティトークン

• 2003年：ハードウェア2要素認証の主流の採用
• 2005年：HOTP (OTP)アルゴリズムが登場

SMS 2FAA

• 2007年：初代iPhoneがスマートフォン時代の幕を開けた
• 2011年：TOTPが正式にRFC 6238になった
• 2012年：FIDOアライアンスがパスワードなしの認証標準を確立するために立ち上げられた

Token MFAとしての電話

• 2013年：アップルがTouchIDで生体認証を世界に紹介

真のパスワードなしのセキュリティ

• 2018年～

ユーザー認証技術は進化しました。世界は、共有シークレットに依存する独自のモノリシック認証方式から、セキュリティと使いやすさを優先する標準ベースのパスワードレスソリューションに急速に移行しています。

デジタルIDの方向性を予測するには、最初にここに到達する方法を理解する必要があります。このペーパーでは、デジタル認証の歴史の簡単なタイムライン、一般的なさまざまな認証方法の概要、およびこれらのアプローチが相互にどのように組み合わされるかを探る認証攻撃マトリックスを提供します。

パスワード

2014年に、コンピューターパスワードの発明者であるフェルナンドJ. コルバトは記録に残り、彼の発明は「悪夢のようなもの」になっていると述べました。Corbató は1961年頃、MITで当時革命的な互換性のあるタイムシェアリングシステム（CTSS）の開発に携わっていたときに、パスワードを発明しました。パスワードが解決していた問題は、これらのコンピュータエンジニアリングの初期の開拓者が「複数の」端末にログオンして、自分の記録に確実にアクセスできるようにすることでした。

彼らが「複数」について話したとき、チームは接続されたグリーンスクリーン端末のほんの一部に言及していました。早送り60年近くとCorbatóの発明は、依然として支配的なログインアクセス方式である- 今日の認証セッションの大半を支えます。パスワードは、ラップトップからタッチスクリーンやコネクテッドカーさえ備えたスマートモバイルデバイスに至るまで、数十億のデバイスで毎日数十億のセッションを認証しますが、パスワードの問題はどれほどひどいですか。

資格スタッフィングは、コンシューマーバンキングトラフィックの56％以上を占める悪質なログインと共に、流行となっています。

2016年以降、50億を超えるパスワードが盗まれました。盗まれたパスワードの武器化はかつてないほど容易になりました。SNIPRなどのツールにより、これまで以上に簡単に攻撃を開始できます。 攻撃のコストはハッカーにとって下がっていますが、防御のためのコストは企業にとって劇的に増加しています。

クレデンシャルスタッフィング攻撃は過去最高で、アカマイは「1年足らずで300億回以上の悪意のあるログイン試行」を報告しています。 SANS Analyst Researchによると、資格情報の再利用攻撃は、最大1％から2％の成功率を達成することができます。

2019年のジャベリン戦略の「クラウドの難問」レポートによると、これらの傾向をまとめると、ATO詐欺の費用が前年比で2倍になり、2018年には17億ドルを超えたのは当然のことです。

「ファイアウォールの内側からクラウドへのアプリケーションのこの大規模な移行は、広範囲にわたる顧客のパスワード違反と相まって、ATOとそのコストの急上昇の主な原因です。」

特にパスワード認証にとどまるVPNでは境界を跨ぐ環境でセキュリティの強化は実現出来ません。VPNからゼロトラストネットワークへの移行が求められているのが実情です。多要素認証を活用したゼロトラストネットワークアクセス（ZTNA）を採用する事が求められます。

ハードトークン2FA

大企業で働いたことがあれば、これらのいずれかを使用した可能性があります。ハードウェアセキュリティトークンが普及したとき、時間ベースのワンタイムパスワード（TOTP）アルゴリズムと改ざん防止ハードウェアを使用して、世界のセキュリティを強化しました。ハードトークンは認証（2FA）に「第2要素」を導入し、より高いレベルの保証を必要とする認証セッションに追加の標準ベースのセキュリティを提供するのに優れていました。これらのデバイスは、パスワードよりもセキュリティを強化することを約束していましたが、長年にわたって、ユーザーエクスペリエンスに多くの欠点とセキュリティの脆弱性があることが判明しています。

トークンの共有は企業で一般的な慣例であり、従業員は、ハードトークンを付箋のパスワードのように渡すことが知られています。

ハードトークンOTPはキーロガーまたは中間者攻撃のいずれかによってキャプチャされ、企業に追加のセキュリティ上の懸念をもたらすため、悪意のある攻撃も一般的です。

しかし、ハードトークンの最も困難な側面は、その使いやすさのままです。ユーザーは、追加のデバイスの必須使用によって引き起こされる追加の摩擦に不利に反応することがよくあります。

世界がデスクトップを超えてモバイルデバイスに移行すると、ハードトークンはさらに使いにくくなり、ユーザーエクスペリエンスに大きな摩擦が加わりました。その結果、消費者の間での採用の欠如は、ハードトークンベースの2FAの大量採用への別のハードルを作成しました。

スマートカード

スマートカードは、企業や政府機関で使用されているプラ​​スチックカードです。マイクロプロセッサが組み込まれており、識別、認証、物理的アクセス、さらには金融取引のために従業員が携帯または着用します。公共および金融セクターでは、セキュリティ上の懸念により携帯電話の使用がサポートされていないミッションクリティカルな環境でスマートカードが正常に展開されています。

スマートカードとハードトークンは、同様のユーザビリティの問題を共有しますが、重要な利点はセキュリティです。スマートカード認証は主に公開キー基盤（PKI）に依存しているため、多くの場合、共有シークレットの代わりにスマートカード認証が使用され、セキュリティが大幅に向上します。

SMS 2FA

モバイル時代には、ハードトークンによって普及したTOTPメソッドを使用したSMS認証が導入されました。

別のハードウェアでOTPを生成する代わりに、サーバーがコードを生成し、SMSを介してモバイルデバイスにユーザーに配信します。ほとんどの人が何らかの携帯電話を持っているので、ハードウェアトークンのコストを回避することで、多くのサービスプロバイダーが大規模な消費者向けの2FA SMSを採用するようになりました。これは現在でも最も広く採用されている2FA方式であり、コンシューマーユースケースの「ハードトークンと同等」と見なすことができます。ただし、SMSベースの認証は、その成長をほとんど停止させる重大なリスクを伴います。

私たちは、SS7ネットワーク攻撃を介してSMSメッセージを簡単に傍受できること、一般的なSIM-Swapping問題がOTPメッセージを間違った携帯電話（通常は詐欺師の手に渡る）に配信する方法、そして人気の高いキーロガーと携帯電話の使いやすさを見てきました。 Modlishkaなどのマルウェアの亜種には、自動化されたSMS OTPスチール機能が搭載されています。

そのため、サービスプロバイダーにとっては安価でしたが、SMS 2FAアプローチは、モバイルデバイスまたはWebブラウザーにOTPを入力する必要があるため、ユーザーエクスペリエンスに顕著な摩擦を加えながら、新しいセキュリティ問題を作成しました。また、共有シークレットへの依存のおかげで、認証へのこのアプローチはユーザーのセキュリティに意味のある影響を与えることができませんでした。

国立標準技術研究所（NIST）が2016年7月に2 つ目の強力な要因としてSMSの使用を推奨するのをやめたときのSMS 2FA LEDの脆弱性が転倒ポイントに。

TOKEN MFAとしての電話

企業とそのユーザーがモバイルデバイスにシフトするにつれて、ソフトトークンMFAが主流になりました。これらの方法は、ソフトウェアベースのワンタイムパスワード（OTP）を普及させ、ハードトークンの大部分をPIN、PUSH、または生体認証ベースのMFA に置き換えることに成功しました。

企業や開発者の間で人気があったが、ソフトウェアベースの2要素および多要素認証（2FA / MFA）システムの多くには、多くの既知の弱点があります。ワンタイムパスワード（OTP）を利用する最も人気のある認証方法のいくつかは、共有シークレットに依存しているため、ユーザーはソーシャルエンジニアリング、モバイルマルウェア、および中間者（MitM ）攻撃の影響を受けやすくなっています。

2FAログインインターフェースを偽装するフィッシングサイトの人気が高まり、Gmail ユーザーなどの大規模な集団を標的とした攻撃が大規模に展開されています。Microsoftなどの主要なMFAプロバイダーでさえ、ハッカーがIMAP プロトコルを利用してMFAをバイパスするなど、重大な攻撃を経験しています。

Stripeが委託した最近の調査によると、ソフトトークンMFAでさえ、消費者向けアプリケーションでほとんど採用されていないことが示されています。販売者は、カートの放棄率の増加に対する懸念を、顧客体験に摩擦をもたらさないための主要な要因として挙げています。

真のパスワードなしのセキュリティ

これは、認証の進化における次のステップです。前任者とは異なり、このアプローチは共有シークレットの使用に依存しません。代わりに、ユーザーの信頼できるデバイスに格納されている秘密キーを使用して、オンラインサービスにアクセスし、トランザクションに署名します。

真のパスワードレスアーキテクチャでは、パスワード、PIN、SMSコード、OTPなどの共有シークレットの使用は、公開鍵暗号化に置き換えられています。

秘密鍵はユーザーがデバイス上で生成し、常にデバイス上に残ります。AppleのTouch IDなどの生体認証センサー。Face IDとその対応するAndroidおよびWindowsは、公開鍵暗号を使用して認証サーバーに対して検証されるこれらの資格情報のロックを解除するためによく使用されます。

企業内にパスワードや共有シークレットを保存するのではなく、True Passwordless Securityは王冠の宝石をエッジに移動します。ユーザーの資格情報は、ユーザーが管理するスマートフォンやデバイスの最も信頼できる領域に安全に保存されます。このアプローチは、企業内外での採用だけでなく、金融サービス、決済、ヘルスケア、eコマースセクター全体での大規模な展開にも大きな勢いを見せています。多くの真のパスワードなしのデプロイメントは、以前はIAMスペースに欠けていた相互運用性と革新のレイヤーを利用して、FIDO（Fast Identity Online）などのオープンスタンダードを活用しています。

使い方

真のパスワードなしのセキュリティ公開鍵暗号、オープンスタンダード、および生体認証センサーの使用を組み合わせて、完全にパスワードなしの認証フローを作成します。

共有秘密から離れたパラダイムシフト…なぜ今なのか？

FIDOなどのPKCベースの認証規格の採用

セキュリティの標準化により、インターネットの最大の成果のいくつかがもたらされました。SSL / TLS標準なしで安全なeコマースを実現できますか？FIDO認証標準は、真のパスワードレスフレームワークが具体化すべきものの主な例であり、あらゆる規模の組織がパスワードや共有シークレットを超えて前進することに成功しています。

モバイル生体認証センサーの主流の採用

今日出荷されるほぼすべてのスマートフォンには、1つ以上の高度な生体認証センサーが搭載されています。指紋、顔、虹彩、音声認識の台頭により、企業は、大規模なユーザーにパスワードなしのエクスペリエンスを簡単に提供できるようになりました。

主要なブラウザがパスワードなしの認証をサポート

2018年現在、FIDO Web認証標準（WebAuthn ）は、Chrome、Safari、FireFox 、Edge などの主要なWebブラウザーでサポートされています。この主要なマイルストーンにより、真のパスワードなしセキュリティのサポートがさらに幅広いWeb読者にもたらされ、採用がさらに加速しました。

PSD2規制により強力な顧客認証を実施

欧州連合（EU）のPSD2の強力な顧客認証（SCA）規制は、支払いサービスプロバイダーが最新の強力な認証技術を採用するための規制フレームワークを作成しており、サポートされる要素の1つとしてパスワードなしの生体認証の使用を明示的にサポートしています。

技術の巨人、大規模なパスワードなしの取り組みを加速

MicrosoftやGoogleなどの業界リーダー、Azure Active Directory（Azure AD）は、OAuth 2.0やOpenID Connect などの業界標準プロトコルをサポートし、IDをサービスとして提供することで、アプリケーション開発者の認証を簡素化します。

それらはどのようにすべて積み上げますか？

認証は、共有シークレットに依存するモノリシックシステムを超えて、真のパスワードレステクノロジーに進化しました。パスワードを置き換えるための世界的な進化運動が進行中です。

共有シークレットからのパラダイムシフトが起こっており、組織はそれを採用して、データ侵害、資格情報の盗難、そして最終的にはアカウントの乗っ取りや金融詐欺などの高額なイベントにつながる無限のサイクルを回避する必要があります。以上のことを踏まえて、さまざまなアプローチはどのように比較されますか？次の表は、多くの既知のセキュリティの脅威と利点をヒートマップし、重要な認証ソーシングの決定の基礎となる知識を追加して、幹部や実務家に提供されています。

ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。