パスワードがまだ完全に無効になっていない理由

by PCJISAKUTECH
0 comment


正確には25文字のランダム化された数字、文字、大文字と小文字、記号の文字列ではありません。

ダングッディン

未来が保持することになっている特定のSFの約束があります: ジェットパック空飛ぶクルマ火星の植民地。 しかし、どういうわけか常に地平線上にあると感じる、一見達成可能な目標もいくつかあります。 そして、最も興味をそそるのは、パスワードの終わりです。 幸いなことに、すべての主要なオペレーティングシステムとブラウザにまたがるインフラストラクチャは、パスワードなしのログインをサポートするためにほぼ整備されています。 あまり良くないニュース? あなたはまだ毎日複数のサイトやサービスにパスワードを差し込んでいます、そしてあなたはしばらくの間そうなるでしょう。

パスワードが絶対的なものであることは間違いありません セキュリティの悪夢。 それらの作成と管理は煩わしいので、 人々はしばしばそれらを再利用します または、簡単に推測できるログインを選択するか、またはその両方を選択します。 ハッカーは 幸せ以上利用する。 対照的に、パスワードなしのログインは、生体認証のように、生得的で盗むのが難しい属性で認証されます。 誰もあなたの拇印を推測するつもりはありません。

たとえば、スマートフォンのロックを解除するときに、すでにこのバージョンを使用している可能性があります。 あなたの顔のスキャン またはパスコードではなく指。 これらのメカニズムは携帯電話でローカルに機能し、企業がログインを確認するために大量のユーザーパスワード(または機密性の高い生体認証の詳細)をサーバーに保存する必要はありません。 また、使用できるようになりました スタンドアロンの物理トークン 場合によっては、パスワードなしでワイヤレスでログインします。 アイデアは、最終的には、ほとんどすべてに対してそれを行うことができるようになるということです。

「すべてのビルディングブロックは、アーリーアダプターの技術者から主流に移行できる成熟度に達しています」と、Googleのアイデンティティおよびセキュリティプラットフォームの製品管理担当シニアディレクターであるマークリッシャーは述べています。 「彼らは強力なプラットフォームサポートを持っており、さまざまな主要プロバイダーすべてで機能し、ユーザーに親しまれてきています。 以前は、業界として私たちはパスワードを取り除く方法すら知りませんでした。 今は少し時間がかかりますが、私たちはそれをどのように行っているかを知っています。」

6月末に、MicrosoftのWindows11の発表が含まれていました より深い統合 特にデバイスにログインするための、バイオメトリクスまたはPINを使用したパスワードなしのサインイン。 同様に、Appleは数週間前に 新しいiOS15 そして macOSモントレー オペレーティングシステムは、と呼ばれる新しいオプションを組み込み始めます iCloudキーチェーンのパスキー、バイオメトリクスまたはデバイスPINを使用してより多くのサービスにログインするためのステップ。 そして5月に、グーグル 議論された 安全なパスワード管理を促進すると同時に、 顧客を遠ざける パスワードから。

開発者とユーザーの両方をパスワードなしの世界に参加させるためのこれらおよびその他の業界の取り組みにもかかわらず、2つの主要な課題が残っています。 1つは、パスワードは広く軽蔑されている一方で、非常に馴染みがあり、ばかばかしいほど遍在しているということです。 何十年にもわたって開発された習慣を打ち破るのは簡単ではありません。

「これは習得された動作です。最初に行うことはパスワードを設定することです」と、特に安全な認証に取り組んでいる長年の業界団体であるFIDOAllianceのエグゼクティブディレクターであるAndrewShikiar氏は述べています。 「それで問題は、私たちが本当に貧弱な財団に依存しているということです。 私たちがしなければならないのは、その依存を断ち切ることです。」

それは苦痛なデトックスでした。 FIDOタスクフォースは ユーザーエクスペリエンスの研究 過去1年間、パスワードなしのテクノロジ自体についてだけでなく、一般の人々にそれを提示し、セキュリティ上の利点についての理解を深める方法についても推奨を行いました。 FIDOによると、パスワードなしの標準を実装している組織は、ユーザーにこの機能を実際に採用させるのに苦労しているため、アライアンスは、フレーミングとプレゼンテーションに役立つと思われるユーザーエクスペリエンスガイドラインをリリースしました。 「 『あなたがそれを造れば、彼らはやってくる』は必ずしも十分ではありません」とシキア 書きました 先月。

2番目のハードルはさらにトリッキーです。 これらすべてが整っていても、多くのパスワードなしのスキームは新しいデバイスでのみ機能し、少なくとも1つの他のデバイスと一緒にスマートフォンの所有権を必要とします。 実際には、これはかなり狭いユースケースです。 世界中の多くの人がデバイスを共有していて、頻繁にアップグレードできないか、使用しています フィーチャーフォン、どちらかといえば

また、パスワードなしの実装はますます標準化されていますが、アカウント回復オプションは標準化されていません。 いつ セキュリティの質問 または、PINがバックアップオプションとして機能する場合でも、基本的には別の形式のパスワードを使用しています。 そのため、パスワードなしのスキームは、以前に認証した1つのデバイスが新しいデバイスに信頼できるものとして油を注ぐことができるシステムに移行しています。

「スマートフォンをタクシーに置いたまま、ノートパソコンを家に置いているとしましょう」とGoogleのRisher氏は言います。 「あなたは新しい電話を手に入れ、ラップトップを使って電話を祝福し、自分自身をバックアップすることができます。 そして、誰かがあなたの紛失した電話を見つけたとき、それはまだローカルデバイスロックによって保護されています。 パスワードの問題をアカウントの回復に移したくはありません。」

紙にバックアップリカバリコードを追跡するよりも確かに簡単ですが、複数の個人用デバイスを維持していない、または維持できない人々のためのオプションを作成するという問題が再び発生します。

パスワードなしの採用が急増するにつれて、移行に関するこれらの実際的な質問は残ります。 ザ・ パスワードマネージャー 1Passwordは当然、パスワードの継続的な統治にビジネス上の関心を持っているが、それが理にかなっているところならどこでもパスワードなしの認証を受け入れることができてうれしいと言っている。 たとえば、AppleのiOSおよびmacOSでは、マスターパスワードを入力する代わりに、TouchIDまたはFaceIDを使用して1Passwordボールトのロックを解除できます。

ただし、パスワードマネージャーをロックするマスターパスワードとその内部に保存されているパスワードの間には、微妙な違いがいくつかあります。 ボールト内のパスワードの山はすべて、パスワードのコピーも保存しているサーバーへの認証に使用されます。 ボールトをロックするマスターパスワードはあなただけの秘密です。 1Password自体は決してそれを知りません。

この区別により、少なくとも現在の形式では、パスワードなしのログインが他のシナリオよりもいくつかのシナリオに適していると、1PasswordのチーフプロダクトオフィサーであるAkshayBhargavaは述べています。 彼はまた、パスワードの代替についての長年の懸念が残っていると述べています。 たとえば、バイオメトリクスは文字通りあなたのユニークな物理的存在を伝えるため、多くの点で認証に理想的です。 しかし、バイオメトリクスを使用すると、たとえば指紋や顔に関するデータが盗まれ、攻撃者があなたになりすますことができるとしたらどうなるかという疑問が大きく広がります。 また、気まぐれでパスワードを変更することもできますが、認証システムとしては最高の品質ですが、顔、指、声、心拍は不変です。

パスワードのすべての機能を置き換えることができるパスワードなしのエコシステム、特にスマートフォンや複数のデバイスを所有していない何十億もの人々を置き去りにしないエコシステムを作成するには、時間と実験が必要です。 パスワードのない世界では、信頼できる人とアカウントを共有することは難しく、電話のようにすべてを1つのデバイスに結び付けると、ハッカーがそのデバイスを危険にさらすインセンティブがさらに高まります。

パスワードが完全になくなるまで、あなたはまだ従う必要があります WIREDが何年にもわたって推進してきたアドバイス 強力で一意のパスワード、パスワードマネージャーの使用について( 良いオプションがたくさん)、および 二要素認証 どこでもできます。 しかし、あなたがあなたの最も機密性の高いアカウントのいくつかでパスワードなしになる機会を見るように、 Windows11をセットアップするとき、 試してみます。 そこにいることすら知らなかったウェイトリフティングを感じるかもしれません。

この物語は最初に登場しました Wired.com



Source link

You may also like

Leave a Comment