![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/19ae8be4.e750202b.19ae8be5.ab17822b/?me_id=1213310&item_id=20727521&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F9521%2F9784297129521_1_3.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
概要
「パスワードによる保護は限界」 技術に頼らない次なる一手とは?
内容
従来セキュリティの要と考えられてきたパスワードが十分な防壁を形成せず、認証そのものの再設計が急務だと論じている。
人間の行動様式である"パスワードの使い回し"によって過去に情報漏洩された情報(コンボリスト)を用いてクレデンシャル・スタッフィング攻撃がなされている。
- コンボリストとは、インターネット上で不正に入手されたメールアドレスとパスワードの組み合わせが一覧になったリストのことです。サイバー犯罪者は、このリストを使って、不正アクセスを試みたり、他の攻撃に利用したりします。
- クレデンシャルスタッフィング攻撃とは、漏洩したアカウント資格情報を悪用し、他のサービスへ不正アクセスを行う攻撃
企業が採るべき対策
- 他要素認証(MFA)
自動化されている不正ログインの99%以上を防ぐとされているが、導入率は以前として低水準
- パスワードに依存しない認証方式への移行(FIDO2など)
FIDO2準拠のハードウェアキーや生体認証は、攻撃者に再利用されるリスクが少ない。
最後に
あまり意識してこなかった(エンジニアとして失格ですね...)が、多要素認証やFIDO2などを導入する理由をこれまで以上にうまく説明できる気がしました。
参考
https://www.itmedia.co.jp/enterprise/articles/2506/26/news030.html