さようならパスワード。パスワードレス認証でユーザーに利便性と安全性を。
セキュリティレベルと利便性
クラウドサービス等の認証で漏洩した『ユーザー名とパスワード』、『メールアドレスとパスワード』の組み合わせは、今やダークウェブに出回り、悪意のあるユーザーに使われてしまう可能性もあります。
ID・パスワード認証のみでは危険なため、セキュリティ管理者はSaaSサービスでの認証要素の追加などを自社に適用することも増えてきたと思います。
その対応で、セキュリティレベルの向上は望めます。しかし、利便性については、おざなりになってしまいます。
組織のパスワードポリシー
パスワードをより強固にしようとした際に、厳しいパスワードポリシーの設定を推進することを検討することもあるかと思います。しかし、複雑なパスフレーズを設定してしまうと『パスワード忘れ』の対応で運用管理者の手間が増えることもあります。また、忘れないようにと付箋や手帳といった物理的な漏洩のリスクが高まることもあります。
3つのパスワードレス認証
任意のパスフレーズに頼らず認証する仕組みとして、パスワードレス認証を検討されてはいかがでしょうか。人を特定する認証処理において、生体認証や端末認証をパスワードの代わりにつかうことができます。
Gluegent Gateで『パスワードレス認証』を実現する
ユーザー登録時にユーザーIDとパスワードは、必須属性になっています。これを使えば当然ユーザーを特定することができますが、特定するだけなら、ユーザーIDだけでよいのです。しかしながら、それだけでは、そのユーザーである保証がありません。
そこで、そのユーザーIDに紐づいたクライアント証明書やFIDOデバイスをパスワードの代わりの認証要素としてはいかがでしょう。さらに、ユーザーが入力したIDもブラウザ単位で保存させることも可能です。
・クライアント証明書の利用
クライアント証明書には、OU:組織情報、CN:ユーザーIDを含めることができます。証明書の種類によっては、MacアドレスやIMEI等端末固有情報が管理されたものもあるので、よりセキュリティ面で強固にすることができます。証明書がインストールされたデバイスであることが前提となるため、設定されたパスワードと同等のものであると保障することもできるかと思います。
・FIDOデバイスの利用
FIDOデバイスは、種類も豊富で生体認証をデバイス上で管理することで、そのユーザーの指紋や顔がないと解錠できないため、これ以上ない、より強固な本人認証です。利便性が高いことは、いうまでもありません。生体情報は、デバイス上で管理することになるため、管理者の手間が増えることはありませんが、場合よっては、デバイス管理というハード面での負荷は残ってしまう可能性があります。
・Windows統合認証の利用
社内LANでオンプレのADドメインを管理されている場合に、ADドメインに参加している状態をもって認証するWindows統合認証も広義では、パスワードレス認証に含まれるのではないでしょうか。
これら『パスワードレス認証』を利用することで、ユーザーを複雑な認証処理から解放し、管理者のパスワード忘れの対応からも解放してくれます。
とはいえ、ほぼ自動での認証行為で心配になる場合には、リスクベース認証や、MFA:多要素認証を柔軟に設定できることも Gluegent Gate の強みとなります。
FIDOの導入について検討されている場合には、こちらの記事をご参照ください。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら\お見積りや導入のご相談はこちら/
お問い合わせはこちら