この記事は、Product Marketing ManagerであるGanesh Umapathyによるブログ
「Available Now! Passwordless Authentication Is Just a Tap Away」(2022/11/2) の抄訳です。
Duo のパスワードレス認証がすべての Duo エディションで利用可能になりました。
この記事では、より安全な認証方法である Duo Push を使うことで、Duo Mobile 認証アプリでパスワードレス認証を行えるようにする方法をご説明します。
パスワードレス認証に注目する理由
パスワードレス化に向けた取り組みを始める際、お客様は問題に直面します。その問題を解決することを Duo は目指しています。お客様からよくお伺いするのは、IT インフラストラクチャとユーザーを FIDO2 認証に対応させる際に発生するオーバーヘッドとコストが、パスワードレスを導入する際の障壁になっているということです。管理者の方からも、最も推奨するパスワードレス認証方式をエンドユーザーが使用できない場合に備えて、代わりとなる認証オプションを提供したいという声が聞かれています。
Duo Mobile は、セキュリティを犠牲にすることなくお客様がパスワードレス化を実現できる費用対効果の高いソリューションを提供することで、この問題を解決します。ユーザー登録のプロセスは非常にスムーズです。ユーザーがすでに Duo Mobile を使用して多要素認証(MFA)を行っている場合は、パスワードレス認証のために別途登録する必要はありません。パスワードレス認証ポリシーが有効になると、パスワードを入力せずに Duo Mobile を使用するかどうかの選択画面が表示されます。追加の手順は必要ありません。
Duo Mobile を使用したパスワードレス認証の仕組み
Duo Mobile を使用したパスワードレス認証は、本質的には多要素認証です。Duo Push 通知でパスワードを入力せずにログインするには、(生体認証または PIN で)モバイルデバイスの画面ロックを解除することによって認証リクエストを承認する必要があります。このフローでは、「自身を表すもの」(生体認証)と「所有しているもの」
(登録デバイス)をユーザーが証明します。
ログインのワークフローには、その他にもセキュリティが組み込まれており、ブラウザのセッションとアプリケーションへのアクセスに使用されているデバイスとの紐づけが行われます。この仕組みにより、MFA プロンプト爆撃などの手口を使ったフィッシング攻撃が軽減されます。Duo は、次の方法でこれを実現しています。
- 既知のデバイスのチェック:パスワードレス認証ポリシーが有効になると、ユーザーはまず、アクセスに使用するデバイスで多要素認証を完了します。
これは 1 回限りのログインフローです。これにより、その後のログインでは、アクセスに使用する特定のデバイスがプッシュ通知を送信することが許可されます。つまり、既知のデバイスのみがパスワードレス認証のプッシュ通知を送信できるようになるということです。
- Duo Push によるパスワードレス認証:その後のログインでは、自動的にパスワードレス ログイン ワークフローが開始され、認証済み Duo Push が表示されます。モバイルデバイスでの生体認証も必要であり、ユーザー認証によって、デバイスとの紐づけが強化されます。
- ブラウザを信頼:認証が完了すると「このブラウザを信頼しますか?」というメッセージが表示されます。ブラウザを信頼しないことを選択した場合、その後の認証でも引き続き認証済み Duo Push を受け取ります。ブラウザを信頼することを選択した場合、アクセスに使用するデバイスとの紐づけがさらに強化され、その後のログインでは、通常のプッシュ通知と画面のロック解除が表示されるようになります。これにより、ログインフローの信頼性が十分に確立され、ユーザーの手間が減ります。
Duo Push の特長
Duo Push は、その使いやすさから、お客様に広く使用されている認証方法です。Duo Push の機能は強化されており、より安全になっています。その進化の 1 つが、番号照合コンポーネントを含む認証済み Duo Push です。Duo Push によるパスワードレス認証には Duo Push の 3 つ目の特長が取り入れられており、生体認証による画面ロック解除で認証リクエストを承認するようになっています。
Duo Push
- 登録済みのデバイスで「承認」をタップ
- ユーザーの手間が少ない
- デバイスとの紐づけが弱い
- MFA プロンプト爆撃(MFA 疲労攻撃)の影響を受けやすい
- Trusted Endpoints ポリシーと組み合わせて使用して、デバイスとの紐づけを強化することを推奨
認証済み Duo Push
- 番号照合を実施
- 意図的にユーザーの手間を増やす
- より安全な方法であり、デバイスとの紐づけを実施
- MFA プロンプト爆撃(MFA 疲労攻撃)を軽減
Duo Push によるパスワードレス認証
- 通常は生体認証による認証済み Duo Push で、ブラウザを信頼すると生体認証による Duo Push に変更
- より安全な方法であり、デバイスとの紐づけを実施
- MFA プロンプト爆撃(MFA 疲労攻撃)を軽減
Duo Mobile を使用したパスワードレス認証は、Duo MFA エディションを含むすべての Duo エディションでご利用いただけます。Duo のお客様の多くは、すでにパスワードレス化に向けて動き出しています。興味をお持ちでしたら、無料トライアルをお申し込みいただき、担当者にご連絡ください。
詳細については、eBook『パスワードレス:認証の未来』をお読みください。パスワードレス化に向けた 5 つのステップを概説しています。また、こちらのオンデマンドウェビナーでパスワードレス製品のデモをご覧ください。
Authors