認証方式は様々なものがありますが、現在最も利用されているのは、
- パスワード認証
- パスワード+何かの多要素認証
などパスワードを利用したものではないでしょうか。よく言われることですが、パスワード認証の問題点については以下の通りです。
- 強力なパスワードは、思い出せない場合がある
- ユーザーは多くの場合、複数のサイトで同じパスワードを使っている
- サーバーの侵害により、パスワードが公開される場合がある
- パスワードは、リプレイ攻撃の対象となる
- ユーザーは フィッシング攻撃により、誤ってパスワードを公開する可能性がある
パスワード+何かの多要素認証は2つ以上の認証要素を順番に確認するため、パスワード認証単体よりセキュリティ強度は高いものの、ユーザーの操作性は便利ではありません。また、パスワード認証+SMS認証などの組み合わせは最近では突破されている例もあります。
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ページ) - ITmedia NEWS
そこで最近出てきているのがパスワードレス認証です。Microsoftはこのパスワードレス認証を推奨しています。なお、Azure ADのパスワードレス認証は、3つの手段が提供されています。
- Windows Hello for Business
- Microsoft Authenticatorアプリ
- FIDO2セキュリティキー
このうち、Fast Identity Online (FIDO) は、パスワードレス認証用のオープン仕様です。ユーザーは、Azure ADに、FIDO2 セキュリティ キーを登録すると、FIDO2認証を利用することができます。 これらの FIDO2 セキュリティ キーは通常、USB デバイスですが、Bluetooth または NFC を使用することもできます。FIDO2セキュリティキーの代表的な製品として「YubiKey」があります。
ちなみにWindows Hello for Businessは生体認証のイメージが強く「Windows Hello for Businessは生体認証のみの単要素認証ではないか?要素の数が減った分、セキュリティ強度が弱くなるのでは?」と思われるかもしれませんが、実際は、TPM内の秘密鍵+ユーザーの PIN or 生体認証の多要素認証です。
ビジネスWindows Hello多要素認証に対応していますか?
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-faq