パスワードについては説明の必要はありません。あなたがここにいるなら、あなたはきっと使用したIDとパスワード過去のある時点で。ユーザーアカウントのパスワードである可能性がありますまたは他の何か。テクノロジーに精通したほとんどのユーザーにとって、パスワードを記憶することはそれほど難しいことではありませんが、余分な頭痛の種であることは否定できません。これは主にパスワードは考えられる最も単純なセキュリティ形式だからです。これは最も単純なセキュリティ形式ではありますが、最近テクノロジーを導入した私たちの周りの高齢者にとっては依然として重要です。
キーボードが唯一の重要な入力デバイスだったコンピューティングの初期の頃、パスワードはプライバシーを確保する革新的な方法であるように見えました。今日でも、最も単純なコンピュータには、入力を送信するためのキーボードと、画面上の項目をポイントするためのマウスが備わっています。そうは言っても、プライバシーを確保するには、パスワードまたは PIN があらゆる規模に適合する唯一のセキュリティ ソリューションです。しかし、便利なパスワードには、制限。そのうちのいくつかについては、この記事の後半で説明します。でも、少し話しましょうパスワードレス認証。
パスワードレス認証の概要
名前自体からすでにアイデアがわかります。認証とは、Web サイト、ポータル、または同様のサービスにアクセスするための本人であることを証明することを指します。したがって、パスワード以外の方法で自分の身元を証明する場合、それはパスワードなしの認証の一例となります。
しかし、パスワードがプライバシーを確保するための最も信頼できる方法の 1 つであることは、コンピューターとセキュリティの登場以来ほぼ昔のことであり、一部のハイエンド システムでさえ、パスワードの入力後にのみ追加要素認証を依然として使用しています。では、従来のパスワードの何が問題なのか?パスワードなしの認証のいくつかの例に進む前に、限界と課題、そしてテクノロジー大手が何をしようとしているのか。
パスワードの問題
パスワードなしの認証がなぜ必要なのか、あるいは従来のパスワードの問題点から始めましょう。
記憶の問題
いずれにせよ、セキュリティ専門家は、すべてのオンライン ポータルに対して複雑だが固有のパスワードを設定することを推奨しています。データ侵害によりパスワードが漏洩した場合に、他の Web サイトが攻撃から遠ざかることを保証するだけです。ただし、ユーザーが高速道路で車を追い越す新しいポータルに登録すると、困難になる可能性があります。パスワードを覚えておくため。私たちのようなテクノロジーに精通したユーザーの場合、パスワードを記憶するロジックを作成できますが、これにはリスクも伴います。 「」をクリックしなければならない他の人のことを考えてください。パスワードをお忘れですか'ログインする必要があるときはいつでもボタンリンクを使用できます。
セキュリティリスク
パスワードは認証に使用される非公開の文字セットですが、推測される可能性があることは否定できません。データによると、ほとんどの人は 12345、pass@1234、または同様の簡単な組み合わせのようなパスワードを使用しています。これらは覚えやすいですが、簡単に推測できるものでもあります。これは重大なセキュリティリスクをもたらし、パスワードの概念全体を傷つけます。
フィッシング攻撃とキーロガー
あなたが毎日使用している Web サイトやオンライン ポータルに似ているものの、何かが違う場合は、URL は認証情報をマイニングするフィッシング Web サイトである可能性があるため、再確認してください。たとえ内容が同じであっても、URLをよく確認することは必須です。覚えたり推測することがどれほど困難であっても、フィッシング攻撃によりパスワードが盗まれる可能性があります。後で、何もせずに元の Web サイトにリダイレクトされてログインする可能性があります。パスワードを知っていること。それは今、ダークウェブ上で飛ぶように売れようとしています。
他人のコンピュータを使用して Web サイトにログインすると、キーロガーによってキーストロークが記録される危険性があります。あなたのパスワード。仮想キーボードはキーロガーを制限できますが、非表示の画面録画ユーティリティを使用すると効果があります。キーを押してパスワードを入力するほうが便利であるため、ほとんどの人は仮想キーボードについて知りません。。
したがって、パスワードにはいくつかの深刻な問題があります。ただし、それらのほとんどは他の方法で整理できます。
パスワードレス認証オプション
従来のパスワードが非常に一般的で便利である理由についてはすでに説明しました。パスワードを入力するにはキーボードが必要なので、お気に入りのオンライン ポータルで認証したり、任意のデバイスから Web アクセスを取得したりできます。他の解決策をいくつか見てみましょう。
ワンタイムパスワードの利用
現在、ほとんどの Web サイトは多要素認証を提供しており、ユーザーはパスワードを入力した後に SMS または電子メールで送信されるワンタイム パスワードを入力する必要があります。パスワードを消去し、ログイン目的に OTP のみを使用することができます。ただし、接続が不十分な遠隔地ではログイン試行が失敗する可能性があります。
解決策としては、時間ベースの OTP または接続しているかどうかに関係なく機能する TOTP を生成する Authenticator などのアプリを使用することが考えられます。 TOTP ベースの認証を使用する場合、ログインするために常に携帯電話を持ち歩く必要があると考えているなら、それは間違いです。同様のアプリやブラウザ拡張機能も利用でき、適切な設定を行うことで複数のアプリで同じ OTP を取得できます。
SMS または電子メール ベースの OTP を TOTP と併用すると、認証にパスワードを使用せずに、より安全なログインを実現できます。
生体認証
パスワードは推測される可能性があり、気づかない場合は OTP が盗まれる可能性がありますが、生体認証を盗むのは困難です。ユーザーが制御できないため、独自の認証が発生する可能性があります。指紋、虹彩画像、音声、顔を認証に使用することで、パスワードを入力する必要はなく、メモリ過負荷なしで、ほぼ即座に、または少なくともパスワードや PIN を入力するよりも速く、必要な数のサービスにシームレスに登録してログインできます。
現在、ほとんどのラップトップや低価格スマートフォンには指紋センサーが搭載されていますが、ハイテク企業はこれを採用して指紋認証を標準にすることができます。ただし、他の生体認証データを使用する場合は、特殊なハードウェアとソフトウェアが必要になり、画像の保存には追加のスペースが必要となるため、ほとんどの中小企業は他の生体認証モードに適応することが制限される可能性があります。
物理的なセキュリティキーとトークン
ドアの鍵を持ち歩くのと同じように、パスワードを持ち歩けたらどうなるでしょうか?はい、可能です。Google などのほとんどの Web サービスでは、アカウントへのログインに使用できる物理的なセキュリティを設定できます。ただし、その理由については説明するまでもありませんが、物理キーの取り扱いには注意が必要です。
マジックリンク
ログインすると、ユーザーは電子メールまたは SMS を通じてマジック リンクを取得し、認証のための詳細をユーザーに求めるページに移動します。たとえば、次のようなときログインすると、ユーザーには番号が表示されます。認証するには、マジック リンクのランディング ページに同じ番号を入力する必要があります。ただし、OTP と同様に、ユーザーはログイン プロセスを続行する前に SMS または電子メールを介してリンクを取得する必要があるため、接続環境にいる必要があります。
デバイスの生体認証
デバイスベースの生体認証では、ユーザーは特定のデバイスからポータルにアクセスするか、少なくとも特定のデバイスにアクセスできる必要があります。しかし、この時代では、ユーザーがスマートフォンやラップトップを頻繁に変更するため、古いデバイスを廃棄して新しいデバイスを使い始めるのが困難になる可能性があります。デバイスが盗まれた場合でも、ログインは重大な問題になる可能性があります。 つまり、これらは、世界がパスワードレス化を望んでいる場合の解決策の一部でした。
ただし、パスワードレス化には課題がないわけではありません。パスワードレステクノロジーへの移行がスムーズになる前に、いくつかの対処が必要です。
実装における課題
パスワードなしの認証の実装に課題がないわけではありません。ここにいくつかあります
実装の課題
選択肢を検討するのは素晴らしいことです。ただし、開発者にとって、新しいシステムを実装したり、既存のシステムと統合したりすることも同様に難しい場合があります。内部構造に基づくと、一部のシステムでは、パスワードなしの認証ツールを複数のデバイスに統合して適用するために大規模な見直しが必要になります。例えば、システムにアクセスするには、コンピューターに指紋センサーまたは Web カメラが搭載されており、指紋と顔を登録してスキャンする必要があります。これは、最小限の周辺機器で動作するコンピュータでは問題になる可能性があります。
ユーザーにとっては難しいと感じるかもしれません。
先ほど説明したように、新しいハードウェアの要件や日常のログイン方法の変更ユーザーの生産性に影響を与える可能性があり、逆進的であると感じる可能性があります。したがって、テクノロジーに投資する必要があるのは企業だけではないため、ユーザーに受け入れられるかどうかがまた大きな課題となるでしょう。それでも、ユーザーも新しいハードウェアに投資する必要がありますが、ほとんどの人にとっては不必要な投資と思われるかもしれません。
ただし、パスワードレステクノロジーへの扉が永久にロックされているわけではありません。パスワードレステクノロジーの導入は段階的に進められるべきで、完全な乗っ取りには10年かかる可能性があります。
ほとんどの大手ハイテク企業は、パスワードの使用以外の追加要素としてパスワードレス認証のさまざまな方法を実装しようとしていますが、その認証がどの程度適切であるかを確認する可能性が最も高いです。ユーザーはそれに適応しつつあります。ただし、企業は他の優れた認証方法を試し、パスワードを歴史に残す必要があります。古き良き時代を次世代に伝えます。
パスワードレス技術については以上です。何か言いたいことはありますか?以下にお気軽にコメントしてください。
