8月には、 インターネット インフラストラクチャ企業の Cloudflare は、多数のテクノロジー企業への侵害に成功した大規模なフィッシング犯罪の数百の標的の 1 つです。 一部の Cloudflare 従業員はフィッシング メッセージにだまされましたが、攻撃者は 深く掘り下げることができなかった 会社のシステムに。 これは、Cloudflare のセキュリティ管理の一環として、すべての従業員が物理的なセキュリティ キーを使用して、すべてのアプリケーションにログインする際に身元を証明する必要があるためです。 数週間後、会社は 発表した ハードウェア認証トークン メーカー Yubikey とのコラボレーションにより、Cloudflare の顧客に割引キーを提供します。
ただし、ハードウェア トークンのセキュリティ保護に優れている企業は Cloudflare だけではありません。 今月初め、Apple は Apple ID のハードウェア キーのサポートを発表しました。これは、ユーザー アカウントで 2 要素認証を初めて展開してから 7 年後のことです。 そして先週、Vivaldi ブラウザは 発表した Android のハードウェア キーのサポート。
この保護は新しいものではなく、多くの主要なプラットフォームや企業は何年にもわたってハードウェア キーの採用をサポートしており、Cloudflare が行ったように従業員がそれらを使用することを要求しています。 しかし、この最新の関心と実装の急増は、エスカレートする一連のデジタル脅威に対応するものです。
Abnormal Security の脅威インテリジェンス担当ディレクターであり、FBI の元デジタル行動アナリストである Crane Hassold は、次のように述べています。 「階層として考えれば、物理的なトークンは認証アプリよりも効果的であり、SMS 検証よりも効果的であり、SMS 検証はメール検証よりも効果的です。」
ハードウェア認証は、キーを物理的に所有して生成する必要があるため、非常に安全です。 これは、オンラインのフィッシャーが誰かをだましてパスワードを渡させたり、パスワードと第 2 要素コードを渡してデジタル アカウントに侵入させたりすることはできないことを意味します。 これはドアキーの前提全体であるため、すでに直感的に知っています。 玄関のドアのロックを解除するために、誰かがあなたのキーを必要とするでしょう。キーを紛失しても、それを見つけた人はどのドアのロックが解除されるか分からないため、通常は世界の終わりではありません。 デジタル アカウントの場合、FIDO アライアンスとして知られる技術業界団体の標準に基づいて構築されたさまざまな種類のハードウェア キーがあります。これには、小さな回路チップを搭載したスマート カード、近距離無線通信を使用するタップ カードまたはフォブが含まれます。または、デバイスのポートに差し込む Yubikey のようなもの。
多くの場合、数十または数百のデジタル アカウントがあり、すべてがハードウェア トークンをサポートしていたとしても、それらすべての物理キーを管理することは困難です。 しかし、最も価値のあるアカウントや、他のログイン (つまり、電子メール) のフォールバックとなるアカウントにとっては、ハードウェア キーのセキュリティとフィッシング耐性は大きな安心を意味します。
一方、テクノロジー業界は何年にもわたる作業を経て、2022 年にようやく長い間約束されていたパスワードレスの未来に向けて大きな一歩を踏み出しました。 この動きは、やはり FIDO 規格に基づいて構築された「パスキー」と呼ばれる技術に支えられています。 現在、Apple、Google、および Microsoft のオペレーティング システムがこのテクノロジをサポートしており、他の多くのプラットフォーム、ブラウザ、およびサービスがこのテクノロジを採用しているか、採用している最中です。 目標は、ユーザーが自分のデジタル アカウント認証をより簡単に管理できるようにして、脆弱なパスワードなどの安全でない回避策を使用しないようにすることです。 とはいえ、パスワードはどこにでもあるため、すぐになくなることはありません。 パスキーに関する話題が広まる中、ハードウェア トークンは依然として重要な保護オプションです。
「FIDO は、パスキーをパスワードとハードウェア ベースの FIDO オーセンティケータの間のどこかに位置付けてきました。それは公正な特徴付けだと思います」と、独立した ID プライバシーおよびセキュリティ コンサルタントである Jim Fenton は述べています。 「パスキーはおそらく多くの消費者向けアプリケーションにとって正しい答えになるでしょうが、ハードウェアベースの認証システムは、金融機関のスタッフなど、よりセキュリティの高いアプリケーションに対して引き続き役割を果たすと思います。 また、セキュリティをより重視する消費者は、特にデータが以前に侵害された場合、純資産が高い場合、または単にセキュリティを懸念している場合に、ハードウェア ベースの認証システムを使用するオプションを用意する必要があります。」
デジタル セキュリティの To-Do リストにベスト プラクティスを 1 つ追加するのは最初は気が遠くなるかもしれませんが、ハードウェア トークンは実際には簡単にセットアップできます。 そして、それらを数回使用するだけで、かなりのマイレージが得られます。 鍵 アカウント。