ritouです。

昨年末から先月ぐらいまで、何度か

• これまでのユーザー認証方式の歴史
• パスキーによって何が実現できるのか

みたいな話をする機会がありました。

まずはSoftware Design 2025年1月号の「第1特集 認証技術の最前線パスワードレス認証「パスキー」のしくみと実装」の前半を担当しました。

gihyo.jp

そして、ファインディ株式会社様主催のイベントでお話しました。

findy.connpass.com

speakerdeck.com

4月中旬にはAuth屋さんと一緒に株式会社overflow様のイベントでお話しました。

offers-jp.connpass.com

speakerdeck.com

全体通して大体似たような話をしています。

パスワード認証 -> 多要素認証 -> FIDO認証 -> パスキー
　　　　　　　 　　　　　　  -> シンプルなパスワードレス認証

1. パスワード認証の課題が明らかになり、攻撃が増えた
2. 応急処置的に別の認証要素を足し算して多要素認証が一般的に、しかしそれでも突破される手法も登場
3. そこからパスワード認証を引き算したシンプルなパスワードレス認証も登場
4. パスワード認証の根本的な課題の解決を目指し、FIDO認証の登場、からより実用的なパスキー認証へ

みたいな経緯ですね。

最近の世の中の反応を見ると「多要素認証もだめらしいし、パスキー最強っていうけど評判が」みたいな感覚があると思います。既存の認証方式の課題解決を図った結果、新しい方式が使われるようになり、さらにその課題解決を…の繰り返しの最中であることを意識すると現状もわりとしっくりくるでしょう。「この認証方式はこういう仕組みで、こういう攻撃にやられる」観点で整理をしていくと銀の弾丸なんて...と絶望していくわけですが、重要なのはその根本にある「この脅威への対策として」の部分を意識することです。

現状はさらに悲惨、セキュリティを語るのは認証のレイヤーだけでは不十分

みたいなことを以下の記事に書いています。

ritou.hatenablog.com

オールレンジ攻撃でやられっぱなしに見えてしまいますが、こういう時は「どんな脅威に対してどのような方法で対応していくか」を繰り返し考え、被害が一定の割合以下になるまで繰り返すことでしょう。

認証部分の話にフォーカスすると、前述の資料のとおり今話題の多要素認証の必須化はパスワードリスト攻撃など、リモートの非同期でガンガンやられる攻撃をまず防ぎましょうという施策としないと辻褄が合いません。

そうすると、AiTMといったリモートかつこちらのアクションと同期して動く仕組みでログインセッションをとりにくる攻撃が出てきますというかすでにあるようですね。 これらは現状の多要素認証では一部(セキュリティキーなど)を除いて対策になりません。攻撃者側がよりこっち中心の攻撃に変わるのか、サービス側がここを意識したのテコ入れが行われるのかどうかに注目してみていきましょう。

仮にここでパスキーが普及したとしても、今度はリモートではなくローカル(端末操作しているユーザーの近くにいる、とか物理的にデバイスを奪いにくる)な環境における攻撃にシフトするかもしれません。これをやれば安全！と言い切ることが難しいのが悩ましいところですが、全体を俯瞰しつつ今とれる最良の方法を選択できるように今後も考えていきましょう。

GWに勉強する時間がある人もない人も、今回紹介した資料を見てもろて、既存の認証方式の特徴を意識してもらえたら良いのではないでしょうか。 ではまた。