セキュリティ

1 度タップするだけでパスワードレス認証が可能に

秦寛樹
2022年11月16日

この記事は、Product Marketing ManagerであるGanesh Umapathyによるブログ

「Available Now! Passwordless Authentication Is Just a Ta p Away」(2022/11/2) の抄訳です。

Duo のパスワードレス認証がすべての Duo エディションで利用可能になりました。

この記事では、より安全な認証方法である Duo Push を使うことで、Duo Mobile 認証アプリでパスワードレス認証を行えるようにする方法をご説明します。

パスワードレス認証に注目する理由

パスワードレス化に向けた取り組みを始める際、お客様は問題に直面します。その問題を解決することを Duo は目指しています。お客様からよくお伺いするのは、IT インフラストラクチャとユーザーを FIDO2 認証に対応させる際に発生するオーバーヘッドとコストが、パスワードレスを導入する際の障壁になっているということです。管理者の方からも、最も推奨するパスワードレス認証方式をエンドユーザーが使用できない場合に備えて、代わりとなる認証オプションを提供したいという声が聞かれています。

Duo Mobile は、セキュリティを犠牲にすることなくお客様がパスワードレス化を実現できる費用対効果の高いソリューションを提供することで、この問題を解決します。ユーザー登録のプロセスは非常にスムーズです。ユーザーがすでに Duo Mobile を使用して多要素認証（MFA）を行っている場合は、パスワードレス認証のために別途登録する必要はありません。パスワードレス認証ポリシーが有効になると、パスワードを入力せずに Duo Mobile を使用するかどうかの選択画面が表示されます。追加の手順は必要ありません。

Duo Mobile を使用したパスワードレス認証の仕組み

Duo Mobile を使用したパスワードレス認証は、本質的には多要素認証です。Duo Push 通知でパスワードを入力せずにログインするには、（生体認証または PIN で）モバイルデバイスの画面ロックを解除することによって認証リクエストを承認する必要があります。このフローでは、「自身を表すもの」（生体認証）と「所有しているもの」
（登録デバイス）をユーザーが証明します。

ログインのワークフローには、その他にもセキュリティが組み込まれており、ブラウザのセッションとアプリケーションへのアクセスに使用されているデバイスとの紐づけが行われます。この仕組みにより、MFA プロンプト爆撃などの手口を使ったフィッシング攻撃が軽減されます。Duo は、次の方法でこれを実現しています。

既知のデバイスのチェック：パスワードレス認証ポリシーが有効になると、ユーザーはまず、アクセスに使用するデバイスで多要素認証を完了します。
これは 1 回限りのログインフローです。これにより、その後のログインでは、アクセスに使用する特定のデバイスがプッシュ通知を送信することが許可されます。つまり、既知のデバイスのみがパスワードレス認証のプッシュ通知を送信できるようになるということです。

Duo Push によるパスワードレス認証：その後のログインでは、自動的にパスワードレスログインワークフローが開始され、認証済み Duo Push が表示されます。モバイルデバイスでの生体認証も必要であり、ユーザー認証によって、デバイスとの紐づけが強化されます。

ブラウザを信頼：認証が完了すると「このブラウザを信頼しますか？」というメッセージが表示されます。ブラウザを信頼しないことを選択した場合、その後の認証でも引き続き認証済み Duo Push を受け取ります。ブラウザを信頼することを選択した場合、アクセスに使用するデバイスとの紐づけがさらに強化され、その後のログインでは、通常のプッシュ通知と画面のロック解除が表示されるようになります。これにより、ログインフローの信頼性が十分に確立され、ユーザーの手間が減ります。

Duo Push の特長

Duo Push は、その使いやすさから、お客様に広く使用されている認証方法です。Duo Push の機能は強化されており、より安全になっています。その進化の 1 つが、番号照合コンポーネントを含む認証済み Duo Push です。Duo Push によるパスワードレス認証には Duo Push の 3 つ目の特長が取り入れられており、生体認証による画面ロック解除で認証リクエストを承認するようになっています。

Duo Push