管理者ガイド パート 2:パスワードは生体認証より安全、PIN は単なるパスワードなどの信用できない噂
『パスワードレス化に向けた管理者ガイド』ブログシリーズ
この記事は、Tech Lead である Jeremy Erickson によるブログ「Administrator’s Guide, Part 2: Passwords Are Safer Than Biometrics, PINs Are Just Passwords, and Other Tall Tales
」(2021/7/1)の抄訳です。
信用できない噂 #1:PIN は単なるパスワード
パート 1 では、パスワードレス認証が多要素認証であることについて説明しました。
- 秘密キー(安全なハードウェアに保管されているのが理想的)
- 生体情報または PIN(ユーザの ID をローカルで検証するためにオーセンティケータが使用する)
PIN が 1 つの要素として使用されているのは、生体認証よりもシンプルだからです。PIN もパスワードですが、いくつか重要な違いがあります。最も重要な違いは、WebAuthn での認証に使用される状況です。パスワードは、Web サイトに送信され、Web サイトのレコード(パスワード自体のコピーではなく、ソルトが付加された後のハッシュ値であることが理想)と照合されますが、PIN は、ローカルのオーセンティケータデバイスに保存されているクレデンシャルのロックを解除するためにのみ使用されます。ユーザ PIN は中央のリポジトリにはないため、攻撃者が侵害したり盗んだりすることはできず、ネットワーク経由でブルートフォース攻撃を行ってオーセンティケータにリモートアクセスすることもできません。クレデンシャルのロックを解除するには、ユーザがローカルで(多くの場合物理的に)オーセンティケータデバイスを操作し、PIN を入力するしかありません。
例として、テレポート(瞬間移動)できる強盗の問題を考えてみましょう。テレポートできる強盗に例えたのは、インターネット上でのリモート攻撃に似ているからです。攻撃者は瞬間的にどこの「ドア」にでも「移動」し、窃取を試みることができます。テレポートできる強盗のリスクを軽減するためにできることは、(a)鍵が偽造されないようする + 錠がピッキングされないようにするか、(b)強盗がテレポートできないようにするかです。
1 軒、1 軒歩いて家にいかなければならない強盗は、それほど脅威ではありません。PIN を使用したローカル認証を適用することで、リモート攻撃者がハッキングしたい各アカウントに「歩いていかなければならない」状態にできます。弱いローカル認証でも、ほとんどのリモート攻撃を阻止できます。ユーザ ID の評価をローカルに切り替えることで、今日の組織や個人に影響を与えるいくつかのカテゴリ全体で攻撃を排除できます。
ユーザはローカルでオーセンティケータにアクセスして PIN を入力できる必要があり、オーセンティケータは、数回入力が不正であればロックすることが多いため、「適切な」パスワードにするために複雑にする必要はありません。数字、記号、大文字、小文字を組み合わた上、最小文字数を適用するのは、1 秒間に何兆ものパスワードを総当たりで試す攻撃者を阻止するためです。攻撃者が合計 10 個のパスワードを推測し、それらをすべて手動で入力する必要がある場合、ランダムな 6 桁の数字の PIN(100 万とおり)で、悪意のある攻撃者を十分ブロックできます。また、複雑なパスワードを入力するよりもよほど実用的です。
それでも、このような脆弱な「パスワード」を認証要素として使用することに関して、なんとなく不安を感じてしまう気持ちもわかります。リモート攻撃を心配しているからでしょうか。その心配はありません。しかし、ローカルで攻撃されたらどうなるでしょうか。キーボードやディスプレイを盗み見られることはないでしょうか。誰かがデバイスのロック解除を記録しているかもしれません。ガラス面に指紋が残っていて、押した数字がわかることがないでしょうか。ハリウッドの多くのスパイ映画で、ローカル PIN を攻撃するアイデアがいくつも示されています。そこで、ローカルに対する攻撃を脅威として考えるのであれば、生体認証について検討してみましょう。
信用できない噂 #2:パスワードは生体認証よりも安全
生体認証は不当な評価を受けています。生体認証は、基本的にマジックです。マジックなので、推論するのは困難です。生体認証センサーにはさまざまな種類があります。
指紋などの同じ生体情報を評価する 2 つのセンサーでさえ、まったく異なる方法を
採用し、まったく違う攻撃を受ける可能性があります。
低レベルの光学式指紋センサーや単一レンズの顔認識カメラなどの生体認証センサーであれば、50 ドルのインクジェットプリンタで印刷した写真を使ってもなりすますことができます。一方、Apple 社の Face ID や Google 社の Face Unlock などの高レベルの顔認識センサーは、複数のカメラと近赤外線ドットエミッタを使用して、3D のフェイスマップをキャプチャします。2D カラー画像や、場合によっては生体検知機能と組み合わせることで、非常に高いレベルで認証できます。2019 年の BlackHat USA での Face ID に対するデモンストレーションのように、生体認証に悲観的な報道がされがちですが、実際には、これらの生体認証は非常に安全です。
「この攻撃には明らかな欠点があります。攻撃対象者は意識を失っていなければならず、さらに、眼鏡を顔にかけても目を覚まさないことが条件です」— ThreatPost Lindsey O’Donnell 氏
2020 年、Talos は、指紋センサーを調査し、妥当な予算で実際にどこまで偽装できるかを確認しました。テストしたデバイスの大部分は高い確率で偽装できましたが、最終的には、偽装するのは難しいと判断しました。
パスワードレス認証という観点から生体認証のセキュリティを評価する場合、ローカル PIN(通常は 6 桁)よりも強力です。ローカルで分析して評価される生体認証は、PIN と同じ画期的な特性を備えています。生体認証によって、オーセンティケータデバイス自体に保存されている、推測不可能な秘密のクレデンシャルのロックが解除されるため、複製可能な秘密キーを Web サーバと共有しなくても済むようになります。そのため、仮にいつか生体認証が侵害されたとしても、他のサイトで使用されているクレデンシャルまで侵害されることはありません。生体認証は、アナログ空間のローカルでのみ攻撃されるため、リモート攻撃のリスクのほとんどは完全に排除されます(詳細については、パート 3 のリモート攻撃リスクの軽減に関するトピックを参照してください)。
「脅威モデルの定義は、指紋の採取方式を決めることからスタートしました。作成プロセスは時間がかかり複雑です。50 以上の型を作成し、手作業でテストしなければならず、数ヵ月を要しました。しかし正確な型を作ってしまえば、指紋の複製は簡単でした。現時点では、今回のテスト方式と予算の枠内である限り、指紋を短時間で作成するのは不可能です」— Talos Security セキュリティ研究者 Palos Rascagneres、テクニカルリーダー/セキュリティ研究者 Vitor Ventura
信用できない噂 #3:生体情報は秘密
説明しておかなければならないもう 1 つのポイントは、生体情報は、ここで説明しているものとはまったく異なる目的でも使用されるということです。つまり、生体情報は認証に使用できますが、監視にも使用される可能性があります。幸いなことに、両者を簡単に区別する方法があります。生体情報が、他の多くの人の生体情報とともに中央のデータベースに保存されているか、クレデンシャルの生成に使用した 1 つのローカルデバイスに保存されているかで区別できます。たとえば、国境検問所では、生体情報はユーザの特定に使用されますが、ユーザが持っているローカルデバイスではなく、中央のデータベースと照合されるため、監視カテゴリに分類されます。
この違いは、技術的な観点と非技術的な観点の両方から重要です。監視自体が、正当に使用される場合と不正に使用される場合の両方がある複雑なテーマで、監視とプライバシーの倫理的境界は、公に討論すべき重要な問題です。そのため、生体情報を認証に利用してプライバシーを強力に保護することに関して、議論が混乱しています。
さらに、中央のデータベースを使用すれば、生体情報が大規模に漏洩するリスクがあります。実際に、CBP 生体情報漏洩(2019 年)、Biostar 社漏洩(2019 年)、OPM ハッキング(2015 年)、SenseNet 社(2019 年)で発生しています。また、ClearView AI 社のアカウント侵害(2020 年)時にも懸念されていました。生体データは、HIPAA、CPRA、BIPA などの法律や規制に基づいて秘密情報や個人情報と見なされることが多く、データ漏洩に対しては厳しい罰則が課されるため、一箇所に保存することによるリスクはさらに大きくなっています。
ただし、認証と監視の最も大きな違いは、監視では、ユーザの生体情報をリモートから取得する必要があることです。リモートで実施される生体情報チェックを欺くのは、リモート検証エンジンに、生体情報に相当するデジタルデータを送信するだけで可能です。生体情報のデジタルデータは、簡単に複製して配布できるため、アイデンティティを示すものとしては、非常に脆弱です。一方、元の物理的な生体情報を忠実に複製するのは非常に困難です。そのため、生体情報をローカルで検証することで、ユーザの ID を高いレベルで保証できます。生体情報をリモートから検証する場合、ユーザが自分のデジタル生体情報を共有秘密キーとして保持していることを検証することになります。
生体情報は個人を特定できるため慎重に扱うべきですが、秘密ではありません。デジタル化した生体情報をリモートから評価することで、生体情報がパスワードに変わります。ただし、そのパスワードは決して変えることができず、常に顔の上にさらしているものです。つまり、リモート生体情報マッチングは、ローカルの生体認証とは異なる別のもので、非常に劣っていると考えるべきです。
現在、適切なセキュリティを実現する、非常に優れた、使いやすい生体情報ベースのオーセンティケータが存在します。その一番のメリットは、以下のようなものが、読者の環境内にすでに多数存在している可能性がある点です。
- Windows Hello
- Apple Face ID と Touch ID
- Google Face と Fingerprint Unlock
- Yubico Yubikey 5 Bio(近日提供予定)
これがすべてではなく、また、特定の製品やベンダーを宣伝したり推奨したりするものではありません。ここで言いたいのは、読者のユーザがすでに、FIDO2 対応のセキュアなオーセンティケータを持ち歩いている可能性があるということです。たとえ現在持っていなくても、組織の機器更新によって、ユーザが 1 つまたは複数のセキュアなオーセンティケータを保持することになる可能性があります。
Tags:
