さようならパスワード。
～パスワードレス認証でユーザーに利便性と安全性を～

セキュリティレベルと利便性

クラウドサービス等の認証で漏洩した『ユーザー名とパスワード』、『メールアドレスとパスワード』の組み合わせは、今やダークウェブに出回り、悪意のあるユーザーに使われてしまう可能性もあります。
ID・パスワード認証のみでは危険なため、セキュリティ管理者はSaaSサービスでの認証要素の追加などを自社に適用されることも増えてきた思います。
その対応で、セキュリティレベルの向上は望めます。しかし、利便性については、おざなりになってしまいます。

組織のパスワードポリシー

パスワードをより強固にしようとした際に、厳しいパスワードポリシーの設定を推進することを検討することもあるかと思います。しかし、複雑なパスフレーズを設定してしまうと『パスワード忘れ』の対応で運用管理者の手間が増えることもあります。また、忘れないようにと付箋や手帳といった物理的な漏洩のリスクが高まることもあると思います。

３つのパスワードレス認証

任意のパスフレーズに頼らず認証する仕組みとしてパスワードレス認証を導入されては、どうでしょうか。人を特定する認証処理において、生体認証や端末認証をパスワードの代わりにつかってみてはいかがでしょうか。

そんな『パスワードレス認証』をGluegent Gateでは、３つの実装方法で実現します。

ユーザー登録時にユーザーIDとパスワードは、必須属性になっています。これを使えば当然ユーザーを特定することができますが、特定するだけなら、ユーザーIDだけでよいのです。それだけでは、そのユーザーである保証がありません。そこで、そのユーザーIDに紐づいたクライアント証明書やFIDOデバイスをパスワードの代わりの認証要素としてはいかがでしょう。さらに、ユーザーが入力したIDもブラウザ単位で保存させることも可能です。

クライアント証明書には、OU：組織情報、CN：ユーザーIDを含めることができます。証明書の種類によっては、MacアドレスやIMEI等端末固有情報が管理されたものもあるので、よりセキュリティ面で強固にすることができます。証明書がインストールされたデバイスであることが前提となるため、設定されたパスワードと同等のものであると保障することもできるかと思います。

FIDOデバイスは、種類も豊富で生体認証をデバイス上で管理することで、そのユーザーの指紋や顔がないと解錠できない為、これ以上ない、より強固な本人認証です。利便性が高いことは、いうまでもありません。生体情報は、デバイス上で各ユーザーで管理することになるため、管理者の手間が増えることはありませんが、場合よっては、デバイス管理というハード面での負荷は残ってしまう可能性があります。

また、社内LANでオンプレのADドメインを管理されている場合に、ADドメインに参加している状態をもって認証するWindows統合認証も広義では、パスワードレス認証に含まれるのではないでしょうか。

これら『パスワードレス認証』をさせることで、ユーザーにとっての複雑な認証処理を解放し、管理者にとってパスワード忘れの対応を解放してくれます。

とはいえ、ほぼ自動での認証行為で心配になりますので、他リスクベース認証や、MFA：多要素認証を柔軟に設定できることも Gluegent Gateの強みとなります。