Appgateは、パスワードの広範囲にわたる盗難を防ぐために、安全な認証のさまざまなモデルを提示しました。 彼はまた、このシステムの進化のタイムラインを提示しました。
パスワードを使用して正常にログインしても、システムや機密性の高いアカウントへの正当なアクセスが保証されなくなりました。 これが、セキュアアクセス企業でサイバーセキュリティの世界的リーダーであるAppgateが、デジタル脅威から保護するためにセキュア認証を実装することの重要性を説明している理由です。
公開される資格情報の数は2018年以降300%増加しており、その増加により、ユーザーキーとパスワードは安全な認証としては効果のない方法であることが明らかになっています。 ただし、大多数の組織は引き続きこのモデルに依存しています。
最初に明確にする必要があるのは、各認証要素が次の3つのカテゴリのいずれかに分類されることです。
- 知識:このカテゴリは、既知のものを指します。 最も簡単な例は、ユーザーのパスワードです。 ただし、これらの資格情報を操作するのは簡単であるため、知識カテゴリは安全な認証を実装するのに最も効果的ではありません。
- 所持:これは、所有されているものに関連しており、操作がより難しいため、強力な認証カテゴリと見なされます。 ユーザーが物理的に何かを持っている必要があるということは、課題を追加しますが、それでも絶対確実な手段であるとは証明されていません。
- 固有:これは最も強力な認証カテゴリです。 詐欺師が人間の特性を再現することははるかに困難であるため、この固有のカテゴリはサイバー犯罪者の標的にはなりません。
各認証要素には、長所と短所があります。 以下に、Appgateは認証の進化の概要を示します。
- 最初のパスワード:ベースのシステムは1960年代初頭にMITで作成されました。つまり、パスワードは50年以上前のものであり、当時でも安全ではありませんでした。 インストールが簡単で費用対効果が高いにもかかわらず、認証要素が弱く、解読されやすい結果になります。
- ハードトークンは1980年代後半に最初に特許を取得しました:ワンタイムパスワードを提供し、定期的に変更される乱数を表示しました。 固有の数値コードは頻度によって変化し、操作が困難になりますが、これは廃止されたシステムであり、はるかにアクセスしやすいスマートデバイスに置き換えられています。
- デバイス認識:Cookieは1990年代後半に作成され、2000年代初頭に一般的になりました。 それらは大規模なデバイス認識の最初の例でした。 このテクノロジーは進化し、絶えず更新されているさまざまな方法を取り入れて改善されていますが、不正な攻撃者はリモートアクセストロイの木馬(RAT)を使用してデバイスにリモートアクセスできます。
- SMS:これらは2000年代初頭に広く使用され、一般的に電話へのパスワードの配布の始まりを示しました。 これは、安全な認証システムを実装する簡単な方法です。 ただし、デバイスを紛失したり、登録済みの電話番号にアクセスできなくなったりしたユーザーにとっては不便であることがわかります。
- 押す:Blackberryは最初にプッシュ通知を使用しましたが、GoogleとAppleは2009年と2010年にそれを主流にしました。この要素は、ユーザーがトランザクションまたはログインの試行を承認または拒否できるようにするポップアップメッセージをモバイルデバイスに表示します。 これはデバイスレベルで実施されるため非常に安全な方法ですが、アカウントに最初に登録されたデバイスにアクセスできるユーザーに依存します。
- 指紋バイオメトリクス:AppleのTouch IDは、2013年に指紋バイオメトリクスを普及させました。この方法では、登録ユーザーの指紋で身元を確認するだけで済み、詐欺師が複製することは困難です。
- QR認証:WhatsApp Webサイトは2015年にQR認証を開始しました。QRコードは安全な認証方法を提供し、各ユーザーに一意のコードを提供します。 これは、高速で便利、そして非常に安全な形式の認証ですが、帯域外プロセスでのみ使用できます。
- 顔認証:AppleのFace IDは、ユーザーを認証するための顔認証の最初の例の1つでした。 不利な点は、それが照明とユーザーの顔の角度に依存し、ユーザーの写真やビデオによって傍受される可能性があることです。
多くの認証モデルはある程度の保護を提供しますが、単一のモデルだけでは十分に効果的ではありません。 したがって、組織が異なるカテゴリ内の複数のモデルを使用して安全な認証を実装することを保証することが重要です。