多様な認証方式の時代の懸念点
長らく、認証方式といえばIDとパスワードが主流でしたが、パスワードの使い回しや解析処理の高速化などにより、利用者自身が安全に管理することにも限界が見え始めています。
そこで、スマートフォンなどを活用した多要素認証や、いわゆるパスキーと呼ばれる公開鍵暗号方式による認証など、パスワードのみに依存しない仕組みが登場してきました。
金融機関を中心に、こうした認証方式への移行を事実上必須としているサービスも増えています。
Windows 10のサポート終了が昨年10月に終了し、Windows 11への移行が一段落した時期と思いますが、これは単にOSのセキュリティサポートの期限の観点だけでなく、Windows Helloといった仕組みの要件を満たしているということで、PCがパスキーを安全に扱える環境になったという側面もあります。
こうした流れを踏まえ、身の回りの認証についても、多要素認証やパスキーに切り替えられる部分は積極的に移行し、より安全な認証環境を整えていきたいと考えています。
その一方で、最近、親が利用しているサービスがパスキーへの移行を求めていたため、設定をしてあげた際に、少し気になる点がありました。
それは、家庭などでスマートフォンしか所有していない方の場合、予備の認証手段を持たないことで、端末の故障や機種変更時に、意図せずサービスから締め出されてしまうケースが増えるのではないか、という点です。
窓口に問い合わせることで最終的には解決できるとは思いますが、金融機関などでは本人確認や郵送対応が必要となる場合も多く、復旧までに時間がかかることも想定されます。 IDとパスワードによる認証であれば、認証情報さえ把握していれば基本的にはどの端末からでもアクセスできるため、端末依存による締め出しは起きにくいです。
この観点からは、認証の強度(機密性)を重視するか、利用し続けられること(可用性)を重視するかというトレードオフが生じており、予備端末を持たない方などでは安全であるのは分かっているが利用するのは、、、という判断をされる方もいそうですし、それが間違い、ともいえないと思います。
ISMSやプライバシーマークのコンサルタントとして活動しています。