パスキーとパスワードを知る~よりシンプルにより安全に~
【はじめに】
最近、パスワード、パスコード、パスキー、PINコードなど一見、似たようなものが多くでている状況であり、時代で単語の意味が変化しているものもあると感じていたため、勉強のためにも整理してみました。
パスコードとPINコードは、ベンダによって扱いが異なるなどもありましたが、現在は広義では区別しにくくなっていますので、ここではPINコードとして扱います。
実際はPIN(Personal Identification Number:個人識別番号)コードのほうが金融などでも使われてきましたし、パスワードと区別できる表現なので広まるのではないかと思っています。
パスキーの英語は、PasskeysとPasskeyどちらもあるようです。
正確にはパスワードの代わりを入力がないパスキーだけで実施できるものではないです。
【パスワードの強化】
パスワードの強化は現在でも行われていますが、パスキーが本当に代わりになるようなものなのかを把握するためにも他のものと比べてみたいと思いますが、まずはパスワードは認証のためのものですので、認証を考えるうえでの3要素がありますのでそこから見てみます。
3要素を絡めてパスワードの強化策にどのようなものがあったのかを見ていきたいと思います。
パスワードは普及するにつれて、「パスワード自体の強化策」が叫ばれ、英数大小記号とか、桁数を多くなどと言われてきました。しかし、使いまわしや安易なものにするなど問題もでてきて、そこからパスワードだけに頼らない「パスワードに追加する安全対策」が登場しました。
パスワードに加えて多要素や多段階等の認証に進んでいきますが、利用の不便さもどんどん、大きくなり、利用者の不満も大きくなっていました。パスキー自体は、デジタルな鍵デバイス内の「秘密鍵」と各サービスのサーバー上の「公開鍵」のペアが安全な場所に管理されています。
もちろんその実際の鍵自体も暗号も数十桁におよびもので解析は無理と考えてよいものです。
【パスキーとサービス認証連携】
そこに現れたのがパスキーを利用した仕組みで(実際はかなり前から国際的に進めてられていた)、認証自体は生体認証中心に行い、そのあとでパスキーがシステム内で活用され、利用できるようになるものです。
利用者からみて一回の認証であとは裏で全部やってくれるうれしい仕組みであり、パスキーというもの自体は全く見えないものです。
私が理解しているざくっとしたレベルのイメージ図を示します。物理的な区別はしていないものですので、正確には別の資料を参照してください。
【プラットフォームとサービス】
パスワードは各サービスで登録され利用されるものでしたが、パスキーは利用者が使用する機器の生体認証が基本となっており、それが各サービスと連携するものとなっているため、利用者が使用する機器のシステム(OS)と深くかかわってきます。このシステム内のプラットフォームとサービスとの関係を3つのシステムにわけて、かつ私が良くみるる単語がどこにあてはまるかを意識してまとめてみました。
【サイバー攻撃脅威対応レベル】
パスキーは認証のためのものですが、サイバー攻撃に対しては、いままでと異なった面で効果があるかを脅威別で検討してみました。
基本は認証に関わることですので、さすがにマルウェア感染に関わるランサムウエア対策にはならないです。
パスキーは、利用者の記憶ではなく、利用するPCやスマホ内で守られており、利用されるには生体認証で守られているから、イメージ的にリモートから生体認証はできないので安心とかと思うかもしれませんが違いします。
パスキーはローカルログインに有効なものであり、ローカルではないネットワークからのログインの認証には仕組み的に関係しなため、ネットワーク内での感染を伏せぐことはできないです。
これらには、EDRなどの導入対策が有効です。
【おわりに】
パスキーについては、細かな技術や仕組みは記載しませんでしたが、私が疑問におもっていたことを中心にこんな感じのものかというのを記載したブログでした。
正確な表現や技術情報はFIDO Alliance等を参照してもらえればと思います。
システムにいろいろなものが存在しており、それぞれ適した認証方法がありますので全部が変更できるわけではありませんが、パスキーという存在は、今後も大きな存在になっていくと思いますので、引き続き注視していきたいと思います。
関連サービス
