31 7月

3分読む

パスキーへの道をナビゲートする：1つのアプローチがすべてに当てはまるわけではない

2024年7月31日ニュース 0件のコメント

企業や政府機関がパスキーの導入に向けて旅に出るとき、スムーズな移行を実現するためには、慎重な計画とさまざまな要因の考慮が欠かせません。組織にとって最も重要で価値のあるものの1つは、「道筋」、つまり、どこから始め、どのように段階を踏んでいくかということだと考えています。パスキーは、セキュリティの強化、ユーザーエクスペリエンスの向上、運用コストの削減など、数多くのメリットをもたらします。しかし、実際のパスワードレスパスを取り巻く段階を慎重に検討することは、特に高度なセキュリティや規制のある市場の組織にとっては非常に重要です。

Passkeysへの移行において、これらのステップと重要な理由は何ですか？

目標と優先順位の定義

導入に踏み切る前に、企業はまず、パスワードレス・テクノロジーを採用する具体的な目標と優先順位を明確にする必要がある。セキュリティ対策の強化、ユーザー・アクセスの合理化、運用コストの削減など、目的が何であれ、当初から目的を明確にすることが不可欠である。

現在のセキュリティ・インフラの評価

目標と優先順位が一致したら、次は組織のセキュリティ・インフラの現状を把握する。パスワードレス認証への移行準備において、既存ソリューションの潜在的なギャップを特定し、セキュリティ・ポスチャを評価することは極めて重要なステップである。これは、コンプライアンスとデータの完全性が最重要視される金融やヘルスケアなど、規制要件が厳しい業界では特に重要である。

ユースケースの優先順位付け

目標を設定し、セキュリティ状況を評価したら、ユースケースの優先順位付けが次のステップになる。アプリケーションやユーザーインタラクションによって、必要とされるセキュリティやアクセス制御のレベルは異なります。したがって、企業はどのユースケースが最も重要であるかを特定し、それに応じて優先順位を付けなければならない。これには、どのユースケースが最高レベルのセキュリティを必要とし、どのユースケースが簡素化されたユーザー・エクスペリエンスから利益を得ることができるかを判断することが含まれる。

パスワードレス・ソリューション導入への道

このようなことを念頭に置きながら、組織はパスワードレス・ソリューションの導入に向けて様々な道を探ることができる。どこから着手するかは、組織の目標と優先するユースケースによって異なる。例えば、モバイル・ファースト戦略や高いセキュリティ・ニーズを持つ組織の場合、ほとんどの企業が安全性の低い方法で生体認証を有効にしているため、まずデバイス・バインド・パスキーを使用してモバイル・アプリケーションを「強化」することを検討することができる。これにより、モバイル・アプリを通じて「トラスト・アンカー」が提供される。あるいは、企業はアプリケーションのパスワードを同期パスキーに置き換えることから始めることもできる。考慮すべき長所と短所があり、セキュリティとユーザー・エクスペリエンスの影響を理解することが重要です。セキュリティの高い市場では、デバイス・バインドと同期パスキーを組み合わせることで、組織は最も便利で安全な方法で様々なユースケースに対応することができる。

計画と展開

これらの方法は一見簡単そうに見えるが、パスワードレスへの移行には綿密な計画と段階的な展開が必要である。管理された環境でテストし、アプローチを改良することで、組織はリスクを軽減し、最初のフィードバックとパフォーマンスに基づいて必要な調整を行うことができます。このアプローチにより、よりスムーズな移行が保証され、セキュリティ対策とユーザー満足度の両方が向上します。

パスワードレス認証の導入の複雑さを克服するためのガイダンスを求める企業にとって、Nok Nokのような経験豊富なプロバイダーとの提携は、貴重なサポートと専門知識を提供することができます。10年以上にわたり、さまざまな業界の信頼できるブランドにFIDOベースのソリューションを導入してきた経験を持つNok Nokは、組織のパスワードレス化への移行を支援する体制を整えています。

パスワードレス認証に向けた取り組みの詳細については、今すぐNok Nokにお問い合わせください。

5月2日

4分読む

Friction and Fatigue = Fraud: not with Passkeys!

2024年5月2日ニュース 0件のコメント

摩擦と疲労＝不正：パスキーは違います！
高度な認証によるバンキングセキュリティの強化：パスキーの導入

オンライン取引がユビキタス化した今日のデジタル環境では、銀行部門における強固なセキュリティ対策の確保が最も重要である。しかし、利用者は何度も本人確認を求められるため、利用開始のプロセスで摩擦に遭遇したり、諦めてしまったりすることがあまりにも多い。

サイバー脅威の急増と悪意ある行為者の高度化に伴い、従来の認証方法は、機密性の高い金融データを保護するには不十分であることが証明されている。しかし、FIDO（Fast Identity Online）のような先進的な認証技術によって、銀行が顧客の口座や取引を保護する方法に革命をもたらす、変革的なシフトが進行中である。ここでは、特に FIDO テクノロジーの採用を通じて、高度な認証によってバンキング・セキュリティがどのように強化されつつあるかについて、4 つの重要な検討事項と展望を掘り下げる：

プラットフォームを超えたシームレスな認証
銀行は、銀行アプリのネイティブサインインにバイオメトリクスを活用することで大きな進歩を遂げ、ユーザーに便利で安全な認証体験を提供している。しかし、ウェブブラウザ経由でバンキングサービスにアクセスする場合、この利便性はしばしば欠如しており、ユーザーは依然として従来のユーザー名とパスワードに頼る必要があります。ウェブアプリケーションにFIDOベースのパスキー認証を採用することで、銀行はすべてのプラットフォームで一貫性のある摩擦のないユーザー体験を提供し、ログイン時間と疲労を軽減しながらセキュリティを強化することができます。
決済承認の合理化
eコマース取引における現在の決済承認プロセスは、アプリの切り替えやデバイスの切り替えを伴うことが多く、不必要な摩擦をもたらし、コンバージョン率に影響を与える可能性があります。FIDO認証によるSecure Payment Confirmation（SPC）テクノロジーの統合により、ユーザーはアプリやデバイスを切り替えることなく、シームレスに支払いを承認することができる。初期のパイロット試験では、コンバージョン率の大幅な向上が実証され、ユーザー体験とセキュリティの強化におけるこのアプローチの有効性が浮き彫りになった。
バンキング・カードの役割拡大
従来のバンキング・カードは、主にオフラインでの利用を想定して設計されているため、オンライン取引における有用性が制限され、CNP（card-not-present）詐欺の蔓延の一因となっている。FIDO セキュリティ・キー技術をバンキング・カードに組み込むことで、金融機関はこれらのカードの機能をオンライン取引に拡張し、利用者に安全で便利な認証方法を提供することができる。これは、バンキング・アプリへのアクセスにおけるデバイスの移行を簡素化するだけでなく、SMSベースのOTPのような脆弱な認証方法への依存を減らすことにもなる。
ユーザー・オンボーディング・プロセスの最適化
銀行業務におけるユーザー・オンボーディングの従来のアプローチは、ユーザーをクレデンシャル化する前にIDプルーフを行うことが多く、その結果、サインアッププロセス中に混乱や脱落が発生する可能性があります。この順序を逆にし、FIDO パスキーを活用することで、銀行はシームレスなユーザー体験を提供しながら、オンボーディングの成功率を高めることができます。パスキーはパスワードの必要性を完全に排除し、認証プロセスをさらに合理化し、新規ユーザーのスムーズな移行を保証する。

展望：FIDOベース認証へのシフト

認証の状況はパラダイムシフトを迎えており、パスワードやOTPといった従来の方法からFIDOパスキーへと移行しつつある。この進化は、より強力なセキュリティ対策、ユーザーエクスペリエンスの向上、およびPSD2やSCAなどの規制要件へのコンプライアンスの必要性によって推進されている。銀行が FIDO テクノロジーを採用することで、銀行はセキュリティの強化、摩擦の低減、認証方法の柔軟性向上といったメリットを享受できる。

クロスプラットフォームで合理的かつセキュアな銀行アプリケーションのオンボーディングを実現するNok Nok。FIDOベースの認証クレデンシャルを開発したNok Nokは、オンラインサービスへのパスワードレスサインアップとサインインを提供します。Nok Nok™ソリューションは、FIDO標準を活用してゼロから構築されており、最も幅広いユースケースに対応する最も包括的なパスキー・サポートを提供します。

結論として、FIDO ベースの認証は、ますますデジタル化する世界でバンキング・セキュリティを強化する鍵を握っている。先進的な認証技術を採用し、ユーザー・エクスペリエンスを優先することで、銀行は進化する脅威を先取りし、金融取引にふさわしい安心感を顧客に提供することができる。

17 11月

4分読む

Missing the Forest for the Trees

2023年11月17日ジャッキー・コンプ 0件のコメント

New technologies, especially those that are transformational, get scrutinized – that’s normal. The benefits need to be carefully understood along with any potential drawbacks. The danger to progress however, results from an imbalance in focus … when we place too much emphasis on “edge cases” at the sacrifice of all the benefits.

We miss the forest for the trees.

Passkeys are a perfect example. Passkeys (aka passwordless FIDO credentials) are transformational as an authentication approach. They are phishing-resistant, easy to use, and future proof (open standard supported by the ecosystem). While they are still new to most users, passkeys will quickly become the preferred method of authentication in the same way most users happily adopted Touch ID and Face ID when offered for app sign-in.

Simply put, passkeys are more secure and more convenient than passwords and one-time passwords (OTP):

Keys cannot be “phished” (there is no “secret” to share)
Fake sites (man-in-the-middle attacks) will fail because they do not have the appropriate private key to impersonate a user.
Attacks don’t scale because the attacker must physically have the user’s device where the private key is stored, as well as their user verification method (fingerprint, face recognition, etc).
Users don’t need to remember complex passwords or fumble with OTPs — they just sign in with a swipe or look into the camera. The complexity of the private/public keys is behind the scenes.

Although passkeys are vastly more secure and greatly improve the user experience, the attention seems to be focused on the “edge cases” that make them not “perfect”.

Edge Case #1: Unclear how the synced key is protected – what if it is compromised. Synced passkeys may be stored by platform providers like Apple and Google, or they may be protected by password managers. That is no different from passwords. The big difference, however, is that passwords can be easily phished and stolen. While password managers can help prevent phishing, not everyone uses one. Also, the relying party cannot tell if they are using a password manager or how strong the password really is. With passkeys the phishing resistance doesn’t depend on user behavior. It is guaranteed by the standard. And to steal someone’s passkey you’d have to take over their account or trick a provider to restore a key to your device, which is orders of magnitude more difficult to achieve. Is it possible, yes, but the current risk with passwords is far greater.
Edge Case #2: The transport security of the keys is unknown. The protocol may be proprietary to the provider, however the large providers strongly encrypt the passkeys and synchronization of passwords to the cloud uses proprietary protocols, too.
Edge Case #3: The key may have been shared (“AirDropped”). This is true, a user can air drop their passkey to another user. It is also true, however, that someone can just as easily share their password. And, unlike passkeys, passwords can be easily guessed making them much more vulnerable.

Understanding risk is important, but not at the expense of gain.

Imagine all the doors and windows in your house with flimsy padlocks that can be easily snapped off with one kick. You have the opportunity to replace them with a high-security deadbolt system that is resistant to being kicked in. However there is one very tiny window on your 3rd floor that would require a 30 ft ladder and gymnastics across your roof for a thief to reach, but it cannot leverage the new lock system. Since you can’t secure that one window, you decide not to secure any of them.

That’s missing the forest for the trees.

The bottom line is even if you change nothing else, you are greatly reducing your attack surface by implementing passkeys to replace passwords wherever possible. For regulated markets that typically require MFA with strong device binding, you can combine device-bound passkeys with synced passkeys, creating a “trust anchor” to deal with the 3rd floor window.

Nok Nok has all the capabilities and expertise to help you on your journey through the enchanted forest.

お問い合わせ

最新のブログ投稿

ナビゲーション

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

パスキーへの道をナビゲートする：1つのアプローチがすべてに当てはまるわけではない

Friction and Fatigue = Fraud: not with Passkeys!

Missing the Forest for the Trees

お問い合わせ

連絡先と購読

最新のブログ投稿

ナビゲーション

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

フォームをダウンロードする