パスワードの終わりの始まり

パスワードの大絶滅はすでに進行中

パスワードのない世界を想像してみてください。

この新しいパスワードのない世界でも、引き続きすべてのオンライン アカウントにログインできます。 WordPress サイトから銀行まで、パスワードなしでオンライン アカウントを作成してアクセスすることが、これまで以上に簡単かつ安全になりました。

それは安心ではないでしょうか？ 朗報です。世界的なパスワードの絶滅はすでに起こっており、その反対側の生活はより良いものになっています。

2022 年後半、Apple は iOS 16 と MacOS 13「Ventura」にパスキーのサポートを導入しました。

昨日、Google は「すべての主要なプラットフォームの Google アカウントでパスキーのサポートを展開する」と発表しました。

iThemes では、Security Pro 製品がパスキーやその他のパスワードレス認証方法を WordPress に導入した最初の製品であることを非常に誇りに思っています。

パスワードレスの生活はどのように可能ですか?

Apple Watch を使い始めて約 1 か月後、現在のバージョンの MacOS を実行しているデスクトップおよびラップトップ コンピューターのロックが自動的に解除され、ログインするようになりました。 MacOS のパスキー サポートをオンにして、Google アカウントと iThemes Security で使用する以外のことをした覚えはありません。 どうやら、これにより、私の時計も信頼できるパスキー デバイスになることができました。

以前は、Apple Touch 生体認証ログインが、私が持っていた最もアクセスしやすいパスワードの代替手段でした。 今は私の時計です。 十分に長く離れていれば、パスワードを入力する必要がある場合もありますが、Apple ID とすべての Apple デバイスに共通のパスキーが接続されているおかげで、私の時計ではそのようなことはあまり一般的ではありません。

YubiKey などのハードウェア キーを使用すると、同じようにパスワードなしでログインできます。Apple デバイスは必要ありません。

Windows および Android デバイスは、パスキーのおかげで、パスワードなしのログインをサポートしています。

パスキーとは

パスキーのオープンソースに感謝できます。 Passkey テクノロジは、FIDO (「Fast Identity Online」) Alliance が設定したオープン スタンダードに基づいています。 W3C によって開発された WebAuthn API は、FIDO2 標準の一部です。 パスキーがクロスプラットフォームのパスワードレス認証を迅速かつ簡単に実行できるようにするのは、WebAuthn です。

パスキーは、スマートフォンなどの認証デバイスによって生成される一意の暗号化されたデジタル識別子です。 公開鍵暗号は、公開鍵と秘密鍵のペアを作成するために使用されます。 このキー ペアが組み合わさって、認証デバイスでパスキーが形成されます。 各デバイスには一意の秘密鍵がある場合がありますが、公開鍵は Web で共有されます。 おそらく、あなたはそれらのいずれも決して見ることはありません。 誰もしません。

パスワードや PIN を入力するか、バイオメトリック チャレンジに合格すると、携帯電話やその他のパスキー対応デバイスで、ユーザーが承認されたユーザーであることが確認されます。 これを行うと、電話機とそのパスキーが追加のデバイスやアプリケーションへのキーとして機能します。 ラップトップでもう一度パスワードを入力して WordPress にログインする代わりに、携帯電話がコンピューターにログインを許可するように指示します。次に、オペレーティング システムがブラウザーに、WordPress にログインを許可するように指示します — すべてパスワードなしで。

デバイスと Web サイトがパスキー用に設定されている場合、これは非常にスムーズなエクスペリエンスです。 PIN を入力するか、簡単な生体認証チャレンジに合格する必要があるかもしれませんが、パスワードを再利用したり脆弱なパスワードを使用したりせずに 3 つの異なるログイン フォームに入力するよりもはるかに簡単です。 また、2 要素認証 (2FA) が嫌いな場合は、もう使用する必要はありません。 ¹

パスキーがパスワードに取って代わる理由

当初、パスキーは、パスワードや 2FA と並んで認証オプションとして登場しています。 どれでも使用できます。 しかし、時間の経過とともに、安全でないパスワードを保持したり、時間のかかる 2FA コードを処理したりすることを望む人はほとんどいないでしょう. パスキーは、次の理由により、すぐに優先されるオプションになります。

1. 強化されたセキュリティ。 パスキーがパスワードに取って代わる主な理由の 1 つは、パスキーが提供するセキュリティの向上です。 多くのデータ侵害は脆弱なパスワードまたは盗まれたパスワードが原因であり、従来のパスワードベースの認証の脆弱性が浮き彫りになっています。 パスキーの背後にある公開鍵暗号方式は、クラックするのがはるかに困難です。

2. ユーザーエクスペリエンスの向上。 オンライン アカウントの多くの複雑なパスワードを覚えるのは困難な場合があり、多くの場合、不適切なパスワード プラクティスにつながります。 パスキーは、認証プロセスを簡素化します。 パスキー認証をサポートするアカウントにアクセスするには、パスキーを保存するデバイスのみが必要です。 この便利なユーザー エクスペリエンスにより、安全な認証方法としてパスキーの採用が促進されます。

3. パスワード マネージャー オプション。 パスキーは、従来のパスワード マネージャーの必要性をなくすことはできないにしても、減少させる可能性があります。 パスワード マネージャーは、複数のパスワードを保存する代わりの方法を提供しますが、追加のリスクももたらします。 これらのパスワード保管庫は、単一障害点になる可能性があります。 LastPass で見たように、パスワード管理プラットフォームが侵害されると、すべての顧客アカウント、パスワード、および個人情報が公開される可能性があります。

パスワードレスの未来: どのように見えるか

パスワードがパスキーによって失われることには 3 つの大きな利点がありますが、それらの共通点は、パスキーがセキュリティとシンプルさの両方にメリットをもたらすということです。

長所

1. シームレスな認証。 パスキーが普及するにつれて、オンライン サービスの認証とアクセスのプロセスはますますシームレスになります。 ユーザーは、パスキーを保存するデバイス、または指紋や顔認識などの生体認証方法を使用するだけで、自分のアカウントにログインできます。

2. 多要素認証を簡単に。 パスキーは、ユーザーが知っているもの (パスキー) とユーザーが持っているもの (パスキーを保存しているデバイス) を組み合わせることで、本質的に多要素認証 (MFA) をサポートします。 MFA を認証プロセスにシームレスに統合することで、ユーザー エクスペリエンスを犠牲にすることなく、より安全なオンライン環境を実現できます。

3. データ侵害の削減。 パスキーが認証の新しい標準になるにつれて、脆弱なパスワードや盗まれたパスワードに起因するデータ侵害の数は減少する可能性があります。 パスキーによって提供される強化されたセキュリティにより、サイバー犯罪者がユーザー アカウントを侵害することが難しくなり、より安全なデジタル ランドスケープにつながります。

これまでのところ、安全な認証に優れたユーザー エクスペリエンスがもたらされることはほとんどありませんでした。 パスキーは大きな例外です。 それは素晴らしいことですが、常に欠点があります。

欠点

1. 巧妙なフィッシングとソーシャル ハッキング。 パスキーを盗んだりクラックしたりすることはほとんど不可能ですが、犯罪者はセキュリティが強化されてもあきらめません。新しいツールに適応し、無視されていた弱点を見つけて悪用します。 今日、AI ツールにより、誰でも簡単にあらゆる言語に堪能に見えるようになっています。これは、他の人をだまして信頼させたい人にとって大きな資産です。 大規模なパスワード侵害は過去のものとなる可能性がありますが、フィッシングやソーシャル ハッキングはより巧妙になり、蔓延する可能性があります。

2. 物理的なセキュリティとプライバシー。 私のAppleデバイスは、左利きの娘が反対側の手の小さい方の手首に私の時計をつけているとき、それが私ではないことを伝えることができません. 彼女が必要とするのは、私の時計と、私のコンピューターにログインするための 4 桁の PIN だけです。 ²泥棒はそれを行うことができました — 警察もそうすることができました. ³私たちのデバイスとの関係がより物理的に絡み合うようになるにつれて、個人のプライバシーに関する多くの難しい問題が生じます。 ⁴すでに衰退しているオンラインの匿名性は消滅する可能性があります。

3. 人々もパスキーを共有します。 パスワード マネージャーは、パスワードを共有するために広く使用されています。 共有されたパスワードは、最終的に盗まれたパスワードになります。 幸いなことに、同僚や友人にパスキーを暗記したり、書き留めたり、電子メールで送信したりすることはおろか、目にすることもほとんどありません。 ただし、一部のパスワード マネージャーを使用して、パスキーを保存したり、共有したりすることもできます。 これを行うための安全な方法はありますが、実際にうまくいくかどうかは疑問です。 どのような方法で行っても、秘密を共有することは本質的に安全ではありません。 (共有された秘密はもはや秘密ではありません。) 機密データや情報の共有は、人々の間の信頼に大きく依存しており、それは常に弱い絆です — 上記のポイント 1 と 2 を参照してください。

セキュリティの考え方と「考えさせない」

パスワードレスの未来にどのような課題が待ち受けていようと、私たちはそこに向かいます。 パスワードは破られています — 認証方法としてはひどいものであり、廃止する必要があります — 早ければ早いほど良いのです。 パスワードレス認証を採用すると、オンライン エクスペリエンスが向上し、デジタル ライフを保護するのに役立ちます。 パスワードのセキュリティと管理についてそれほど心配する必要がないことは、大きな安心感です.

一方、「考えさせない」は、ユーザー エクスペリエンスとインターフェイスの設計においては優れた目標ですが、セキュリティにとっては災難となる可能性があります。 シンプルなデザインはユーザーの効率を高め、ユーザーの認知的負担を軽減します。 パスキーは、そのシンプルさを非常にうまく実現します。 しかし、進化し続ける脅威の世界における潜在的なセキュリティ リスクについて、これ以上自己満足に陥らせてはなりません。

パスキーとすべての主要なプラットフォームでの採用により、オンライン サービスにアクセスするときの Web の未来は、より安全でユーザー フレンドリーなエクスペリエンスになります。 複雑なパスワードを覚えるのに苦労する (そしてそれらを共有または再利用する) 日々は、間もなく過去のものとなり、それは確実な改善です。

ベースラインのセキュリティ基準も引き上げる時が来ました。 パスキーはそれを行います。これにより、サイバー犯罪、詐欺、および個人情報の盗難がより困難かつまれになると期待しています. 今すぐ使用を開始してください。WordPress サイトをお持ちの場合は、ログイン時のオプションとしてパスキーを使用することを検討してください。 セキュリティについても考え続けてください。 セキュリティが何を意味し、パスワードのない世界という新しいコンテキストで脅威がどのように変化するかを尋ねてください。

ノート：

1. 「デジタル ライフから締め出された」や「Gmail の 2FA により、ホームレスは年に 3 回永久にアクセスできなくなる」などの報告は、2 要素認証の欠点を示しています。
2. Apple Watch は、Touch ID のような生体認証がなければ、最適なセキュリティ キーではない可能性があります。 Apple の最近の特許のいくつかに基づいて、Touch ID の手のひらベースのバージョンが開発中である可能性があります。
3. 電子フロンティア財団は、法執行機関が 1 つのデバイスへのパスキー アクセスを使用してさらに多くのデバイスやオンライン アカウントを検索した場合、公民権侵害の可能性について懸念を表明しました。
4. 時計や同様のデバイスによって収集された生物学的データから一意の生体認証シグネチャを識別することも可能になる可能性があります。これは、COVID のような病気の早期発症を検出できるためです。

ダン・ナウス

Dan Knauss は、StellarWP のテクニカル コンテンツ ジェネラリストです。 彼は 1990 年代後半からオープン ソースで、2004 年からは WordPress で、ライター、教師、フリーランサーとして働いています。