さようならパスワード。

セキュリティレベルと利便性

便利だからと使ったクラウドサービス等の意図しない漏洩事件で出回った『ユーザー名とパスワード』、『メールアドレスとパスワード』の組み合わせは、今やダークウェブに出回り、悪意のあるユーザーに使われてしまう可能性が高まってきています。
ID・パスワード認証のみでは、危険だ！と認証要素を追加することをSaasサービスで強要したり、セキュリティ管理者の方も自社に適用されるというのも増えてきた思います。
それでは、セキュリティレベルの向上は、望めます。が、利便性については、おざなりになってしまいます。

組織のパスワードポリシー

パスワードをより強固にしようとした際に、厳しいパスワードポリシーが設定されるというのも組織によっては、推進されることもあるかと思います。複雑なパスフレーズを設定してしまうと『パスワード忘れ』の対応で運用管理者の手間が増えることもあります。また、忘れないようにと付箋や手帳といった物理的な漏洩のリスクが高まるなんてこともあると思います。

３つのパスワードレス認証

任意のパスフレーズに頼らず認証する仕組みとしてパスワードレス認証を導入されては、どうでしょうか。人を特定する認証処理において、生体認証や端末認証をパスワードの代わりにつかってみてはいかがでしょうか。

そんな『パスワードレス認証』をGluegent Gateでは、３つの実装方法で実現します。

ユーザー登録時にユーザーIDとパスワードは、必須属性になっています。これを使えば当然ユーザーを特定することができますが、特定するだけなら、ユーザーIDだけでよいのです。それだけでは、そのユーザーである保証がありません。そこで、そのユーザーIDに紐づいたクライアント証明書やFIDOデバイスをパスワードの代わりとして認証要素としてはいかがでしょう。さらに、ユーザーが入力したIDもブラウザ単位で保存させることも可能です。

クライアント証明書には、OU：組織情報、CN：ユーザーIDを含めることができますので、証明書の種類によっては、MacアドレスやIMEI等端末固有情報が管理されたものもありますので、よりセキュリティ面で強固にすることができます。証明書がインストールされたデバイスであることが前提となりますので、設定されたパスワードと同等のものであると保障することもできるかと思います。

FIDOデバイスは、種類も豊富で生体認証をデバイス上で管理することで、そのユーザーの指紋や顔がないと解錠できない為、これ以上ないより強固本人認証であり、利便性が高いことは、いうまでもありません。生体情報は、デバイス上で各ユーザーで管理することとなりますので、管理者の手間が増えることはありませんが、場合よっては、デバイスというハード面での負荷は残ってしまう可能性があります。

また、社内LANでオンプレのADドメインを管理されている場合に、ADドメインに参加している状態をもって認証するWindows統合認証も広義では、パスワードレス認証に含まれるのではないでしょうか。

これら『パスワードレス認証』をさせることで、ユーザーにとっての複雑な認証処理を解放し、管理者にとってパスワード忘れの対応を解放してくれます。

とはいえ、ほぼ自動での認証行為で心配になりますので、他リスクベース認証や、MFA：多要素認証を柔軟に設定できることもGluegentGateの強みとなります。