Yahoo!は新たな試みをしています。ユーザーにパスワードを一切使わず、スマートフォンアプリでログイン時にアクセスを許可するよう促すのです。あるTwitterユーザーの言葉を借りれば、これは1要素の2要素認証(2FA)のようです。Yahoo!のアカウントキーは、Yahoo!ネットワークにアカウントを持つ人々のセキュリティに悪影響を及ぼす、奇妙な決定なのでしょうか?
率直に答えると、「いいえ」です。Yahoo!は、ユーザーが認証ログインのメリットをより享受しやすくすると同時に、盗まれたパスワードが悪意のある人物に利用されるリスクを軽減することを目指しており、ほぼあらゆる状況でパスワードよりも優れた方法を選択しました。強い言葉だとは思いますが!他社がすぐに追随するとは期待していませんが、Yahoo!は他社との差別化を図ろうとしています。
これは、Duo Securityのようなより高度なシステムからヒントを得ています。Duo Securityは設定がより複雑で、企業規模のセキュリティ向けに設計されていますが、基本的な原則は同じです。Yahoo!は、このアイデアを既存のアプリを使って活用できる一般の人々に提供しています。
鍵となるのはパスワードの欠如だ
新しいYahoo!アカウントキーシステムがどのように機能するのかを詳しく見ていきましょう。実際にテストしてみましたが、Yahoo!が謳う通りの動作でした。
まず、Yahoo!メールの新しいiOSアプリをインストールします。アカウントキーはこのアプリとウェブ版Yahoo!メールへのログインでのみ機能しますが、今年中に他のアプリにも展開される予定だと、Yahoo!はブログ投稿で述べています。
次に、ユーザー名とパスワードでログインします。これは、Appleの古い2段階認証や新しい2要素認証システムのように、アプリを信頼できるデバイスにすることを意味します。そのため、最新の情報を入力する必要があります。次に、画面上部のプロフィールアイコンをタップし、「設定」をタップします。「アカウントキー」をタップすると、サービスが有効になります。Yahoo!は、接続の承認と拒否のデモを案内してくれるので、実際に操作を練習できます。この機能の対象ユーザーにとって、これは重要なポイントです。
Yahoo!ウェブサイトは、ログインの承認をスマートフォンアプリに渡し、認証できない場合は代替手段を提示します。アプリで承認されると、ログインは自動的に完了します。
テストでは、Yahoo.com にアクセスしてメールアカウントにログインしました。アドレスを入力すると、アカウントキーが有効になっていることがすぐに認識され、パスワード入力欄が「アカウントキーを使用するにはクリック」に変わり、「サインイン」ボタンが「続行」に変わりました。ウェブサイトの画面に承認待ちのメッセージが表示され、iOS デバイスに通知が送信され、ログインを許可するかどうかを選択する画面が開きました。
アプリにログインしていない場合、ログイン試行は通知として表示されます。
Yahoo!メールアプリは、他の場所でログインが試行されると通知を表示します。多くのコンテキスト情報が提供され、問題がある場合は大きな赤い×印が表示されます。
経験豊富なユーザーにとっては、これは些細なことに思えるかもしれません。iOSアプリを設定するのに必要なのはパスワードだけなのに、悪意のあるユーザーがアカウントにアクセスするのをどうやって防げるのでしょうか?しかし、その相互作用はもっと複雑です。
確かに、既存のパスワードを使う必要があります。しかし、これを大量に悪用する方法はありません。多くのアカウントセキュリティ問題と同様に、個々のターゲットのアカウントを攻撃すること(盗難、嫌がらせ、犯罪の証拠など)と、膨大な数のパスワードを保有し、それを巨大なアカウントの束に攻撃することの間には、大きな隔たりがあります。
卸売りもできます
Yahoo はログインを「小売」取引に変えており、誰かがユーザーのアカウント名とパスワードを入手し、それを iOS または Android デバイスのアプリに入力して、それに関連するすべての追跡を行う必要があります。
ログイン段階を過ぎると、パスワードを持たない方が、多数の人にパスワードを設定するよりもはるかに安全です。普通の人は覚えやすいパスワードを選びますが、それは簡単に推測されたり、解読されたりしてしまいます。また、メールによるフィッシングや電話での詐称の際にも、パスワードを教えてしまうことがよくあります。パスワードがなければ、アカウントキーオプションが有効になっている物理デバイス以外、盗まれるものは何もありません。
これにより、攻撃の負担は物理的な近接性と個人情報へと移行します。あなたのYahooメールアカウントに侵入しようとする者は、遠隔操作では不可能です。あなたの近くにいなければなりません。あなたのコンピューターにアクセスするだけでは、ひっそりと侵入することはできません。侵入にはあなたのスマートフォンが必要であり、そのスマートフォンはロック解除されている必要があります。パスコードが設定されている場合は、パスコードを推測するか知っている必要があります。Touch IDの場合は…あなたの指紋の1つが必要です。そして、痕跡を残さずに侵入することはできません。これらの接続は、日時とIPアドレスで記録されるからです。
難しいパスワードを作成したくない、そしてリモート攻撃のリスクを軽減したいユーザーにとって、Yahoo!のアプローチは実に素晴らしいものです。二要素認証だけでなく、通常のパスワードを使ったログインよりも非常にシンプルなので、ユーザーの間で広く採用される可能性があります。セキュリティの確実性と実効性は高まり、時間も短縮されます。さらに、ログインにアカウントキーの入力が必須である限り、Yahoo!のセキュリティミスが問題になる可能性も低くなります。
今、2段階認証や2要素認証によるさらなるセキュリティを求める人もいます。どちらの場合もパスワードは必要ですが、単独で使用する場合ほど強力である必要はありません。2段階認証(信頼できるデバイスからの接続を承認する)または2要素認証(同じログインパスでは取得できない固有の情報)です。Appleの新しい2要素認証(実際には2段階認証)システムでは、まずリモートログインの大まかな場所を表示し、「許可」(または「許可しない」)をクリックするよう要求し、その後、パスワード認証を補完するためのコードが表示されます。
2段階認証、つまり2要素認証は、解読や発見が不可能な、ユーザーが知っている情報(パスワード)と、取得する必要がある情報(時間ベースのワンタイムパスワード、SMSで送信されるコード、アプリが生成するコードなど)を組み合わせたものです。しかし、ほとんどの人にとって、Yahoo!が提供するパスワードと単純なパスワードの間には大きな隔たりがあり、大きなメリットとなります。
私は、クラッキングを世界規模から物理的な近さに移行させ、セキュリティを管理したくない人にとってはメリットがありながらもよりよいプロセスにする、Yahoo のスキームのより単純な変種を期待しています。
