デバイスベースのセキュリティでサーバーから離れる

スピアフィッシングやスパイウェアが蔓延する今日の世界からすると、それは非常に高い目標のように思えるが、IT意思決定者の5人中4人は、まさにそれが我々の差し迫った未来にあると同意している。新しい調査では、大半の組織が、パスワードや2要素認証にとどまらず、より強力な方法でサイトやアプリのセキュリティを確保したいと回答している。回答者の半数近くが、今後5年以内にバイオメトリクスを導入し、パスワードからの脱却を望んでいる。

大企業もこの流れに乗りつつある。1月下旬、フェイスブックは、グーグル、セールスフォース、ドロップボックスなどに続き、FIDO準拠のユニバーサル第二要素キーのサポートに乗り出すと発表した。FIDOアライアンスの創設メンバーとして、Nok Nok Labsはセキュリティの強化に取り組んでいる。

しかし、パスワードを廃止し、バイオメトリクスのようなオプションを含む強力な認証を導入するためには、企業はサーバーサイドの秘密ではなく、デバイスサイドの秘密を実装する必要がある。パスワードのないエリュシオンの野原を目指すには、企業はパスワードレス認証の導入に体系的なアプローチをとる必要がある。

拇印、虹彩、顔スキャン・ソフトウェアは、非常に使いやすいという利点がある。しかし、企業がこの種の情報を公開サーバーに保存する習慣を続ければ、ハッカーがこれらの機能を日常的に複製できるほど洗練されれば、現在のパスワードの状況よりも悪くなる可能性がある。新しいパスワードを手に入れるのと同じように、新しい虹彩を手に入れることはできない。指紋が盗まれたケースは、2015年の米人事管理局による情報漏洩事件ですでに確認されている。

Nok Nok Labs S3 Suiteは、デバイスベースの認証を活用することで、強力なバイオメトリック・セキュリティに対応しています。これにより、攻撃者はデバイスの所有権に加え、アクセスするためのバイオメトリックデータを持っている必要があるため、侵害の可能性は低くなります。

一般的な生体認証セキュリティでは、パスワードのハッキングは防げない。一般的に、Touch IDのような機能はデバイス上で生体認証を使用するが、ユーザー名とパスワードの代わりにはならない。その代わり、指紋によってパスワードが解除され、そのパスワードは安全なエンクレーブに保存される。依然としてパスワードが関与しているため、セキュリティ上の問題は残っている。

バイオメトリック認証が本当に機能するためには、パスワードが不要で、サーバーベースではなくデバイスベースでなければならない。Nok Nok Labs S3 Suiteを使用する場合、バイオメトリック・シグニファイアが実行され、デバイスはローカル認証に基づいてアプリ固有の秘密鍵をロック解除する。この鍵は、生体情報そのものではなく、FIDO標準化プロトコルを介してサーバーに送信され、サーバー上の公開鍵と照合される。秘密鍵の情報はデバイスから出ることはなく、公開鍵だけがサーバーに保存される。公開鍵は、秘密鍵情報がなければ価値がないため、攻撃に使用することはできない。これがFIDOアライアンスの未来像であり、Nok Nok Labsのコミットメントでもある。