« 中国 CNCERT 米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案についての報告書 (2025.01.17) | Main | 米国 トランプ大統領が大統領令14110 人工知能の安全、安心、信頼できる開発と利用を含む67の大統領令と11の覚書を撤回する大統領令を出しましたね...(2025.01.20) »

2025.01.21

英国 NCSC ブログ パスキー:完璧ではないが、改善されつつある (2025.01.15)

こんにちは、丸山満彦です。

英国のNCSCのブログがパスキーについてのブログ記事を載せていますね...

課題はあるけど、パスワードよりパスキーの方が安全性が高くなる場合が多いので、パスキーの改善にNCSCは取り組んでいますよ...ということですかね...

これから使っていこうね...

 

NCSC - Blog

1_20250121060101

 

・2025.01.15 Passkeys: they're not perfect but they're getting better

Passkeys: they're not perfect but they're getting better パスキー:完璧ではないが、改善されている
Passkeys are the future of authentication, offering enhanced security and convenience over passwords, but widespread adoption faces challenges that the NCSC is working to resolve. パスキーは認証の未来であり、パスワードよりもセキュリティと利便性を向上させるが、その普及にはNCSCが解決に取り組んでいる課題がある。
Now we’re in 2025, a lot more services are offering passkeys as a replacement for passwords and the NCSC believes they are the future of modern authentication. However, there are still some significant bumps in the road ahead. Here we set out the case for mass adoption of passkeys and outline the remaining issues which are hindering their widespread implementation. The NCSC will work alongside industry to help resolve these problems and help to get passkeys over the line. 現在、2025年を迎え、多くのサービスがパスワードに代わるものとしてパスキーを提供しており、NCSCはパスキーが現代の認証の未来であると確信している。しかし、前途には依然として大きな障害がいくつか存在する。ここでは、パスキーの大量導入の根拠を提示し、その広範な実装を妨げている残りの問題について概説する。NCSCは、業界と協力してこれらの問題の解決に取り組み、パスキーの普及を支援していく。
What’s wrong with passwords – why do we need passkeys? パスワードの何が問題なのか - なぜパスキーが必要なのか?
Most cyber harms that affect citizens occur through abuse of legitimate credentials. That is, attackers have obtained the victim's password somehow – whether by phishing or exploiting the fact the passwords are weak or have been reused. 一般市民に被害をもたらすサイバー犯罪のほとんどは、正当な認証情報の悪用によって発生している。つまり、攻撃者はフィッシング、あるいはパスワードが脆弱であることや使い回しされていることを突いて、何らかの方法で被害者のパスワードを入手しているのだ。
Passwords are just not a good way to authenticate users on the modern internet (and arguably weren't suitable back in the 1970s when the internet was used by just a few academics). Adding a strong – phishing-resistant – second factor to passwords definitely helps, but not everyone does this and not every type of Multi-Factor Authentication (MFA) is strong. パスワードは、現代のインターネット上でのユーザー認証の方法としては適切ではない(インターネットが一部の学者によって使用されていた1970年代には、おそらく適切ではなかった)。フィッシングに強い強力な第二の要素をパスワードに追加することは確かに役立つが、誰もがそうしているわけではないし、すべての多要素認証(MFA)が強力というわけでもない。
So if not passwords, then what? では、パスワード以外の方法とは何だろうか?
Passkeys have recently come to prominence as the world's best option for going passwordless – finally replacing account passwords with something better. If you haven't come across passkeys, take a look at our other blog on the promise of passkeys. The short story is that passkeys solve the main security problems we have with passwords. パスキーは最近、パスワードレスを実現する世界最高の選択肢として注目を集めている。パスワードを最終的により優れたものに置き換えるものだ。パスキーについてまだご存じない方は、パスキーの将来性に関する弊社の他のブログ記事もご覧いただきたい。簡単に言えば、パスキーはパスワードに伴う主なセキュリティ問題を解決する。
Passkeys: パスキーは
・are generated securely and so can’t be guessed ・安全に生成されるため、推測できない
・can’t be phished ・フィッシングの対象にならない
・are unique for each website you use, so if one website is compromised it doesn’t put your other logins at risk ・使用するウェブサイトごとにユニークなパスキーが生成されるため、ひとつのウェブサイトが侵害されたとしても、他のログインにリスクが生じることはない
Passkeys manage what was previously thought impossible. As well as being far more secure, they’re also quicker, easier and more convenient for users. For example, Microsoft has seen that on average passkey sign-ins to their services take only 8 seconds, compared with 69 seconds to sign in using a traditional password and second factor. パスキーは、これまで不可能と考えられていたことを可能にする。セキュリティが大幅に強化されるだけでなく、ユーザーにとってはより迅速で簡単、便利なものとなる。例えば、Microsoftでは、パスキーを使用した同社サービスへのサインインは平均8秒で完了しているが、従来のパスワードと第二要素認証を使用した場合は69秒かかっている。
As a solution that’s designed to be easier for users and more secure, you might expect passkeys to be the NCSC’s default recommendation for websites authenticating their customers. But if you check out our guidance: MFA for your corporate online services and Authentication methods: Choosing the right type, you’ll see we’re currently still having to recommend options that include a password and something extra to secure it. ユーザーにとってより簡単で、より安全なソリューションとして、パスキーがNCSCによる顧客認証を行うウェブサイトへのデフォルトの推奨事項になることを期待するかもしれない。しかし、当社のガイダンス「企業オンラインサービスにおけるMFA(多要素認証)と認証方法:適切なタイプの選択」を確認すると、現在もパスワードとそれを保護するための追加の要素を含むオプションを推奨せざるを得ないことが分かる。
We welcome the year-on-year improvements in passkey technologies but the remaining problems with them means we aren't ready to recommend them for mass adoption across all services yet. The NCSC wants to see an acceleration in progress and collaboration, so that we can confidently recommend this technology as the most secure and usable form of online authentication. パスキー技術の年々改善されることを歓迎するが、それらにはまだ問題が残っているため、すべてのサービスに広く採用することを推奨できる段階には至っていない。NCSCは、この技術をオンライン認証の最も安全で使いやすい形態として自信を持って推奨できるよう、進展と協力を加速させたいと考えている。
What then are the remaining problems with passkeys? では、パスキーの残された問題とは何だろうか?
There’s plenty of media evidence pointing to the challenges to passkey adoption. This includes: パスキーの導入にまつわる問題を指摘するメディア報道は数多くある。以下はその例である。
Inconsistent support and experiences 一貫性のないサポートと体験
Due to the history of their development, there are currently multiple ‘flavours’ of passkey available that providers and users need to understand how to manage. These range from device-bound and physical token passkeys (that never leave the device) to ‘synced’ passkeys (where a device’s Credential Manager backs up and synchronises passkeys across the user’s other devices). パスキーの開発の歴史により、現在、プロバイダやユーザーが管理方法を理解する必要がある複数の「種類」のパスキーが存在している。これには、デバイスに紐づけられた物理的なトークンパスキー(デバイスから離れることはない)から、「同期」パスキー(デバイスのクレデンシャルマネージャがバックアップし、ユーザーの他のデバイス間でパスキーを同期する)まで、さまざまなものがある。
This complicates things for websites which want to offer effective passkey support but also want to know how the passkey is being handled by the user’s device to keep their accounts safe. This can also lead to confusing or frustrating experiences for passkey users who just want the authentication to work, without having to worry about the nuances of underlying technology. For example, some websites support synced passkeys, while others still only support device-bound passkeys. これは、効果的なパスキーのサポートを提供したい一方で、ユーザーのデバイスでパスキーがどのように処理されているかを知り、アカウントの安全性を確保したいウェブサイトにとっては、状況を複雑にする。また、このことは、認証が機能すればよく、その基盤となるテクノロジーのニュアンスについて心配する必要がないパスキーユーザーにとっては、混乱やフラストレーションにつながる可能性もある。例えば、一部のウェブサイトでは同期パスキーがサポートされているが、他のウェブサイトでは依然としてデバイスに紐づいたパスキーのみがサポートされている。
Industry groups (including the FIDO Alliance and W3C) are working on standards, guides and tools to improve this situation for developers and users, but it will take time for these to be adopted consistently across the range of apps and websites available today. The NCSC strongly encourages providers and developers to engage with these groups and accelerate their adoption of these consistent standards when they’re released. 業界団体(FIDOアライアンスやW3Cなど)は、開発者やユーザーにとってこの状況を改善するための標準、ガイド、ツールの開発に取り組んでいるが、現在利用可能なアプリやウェブサイト全体にわたってこれらの標準が採用されるには時間がかかるだろう。NCSCは、プロバイダや開発者がこれらの団体と連携し、標準が発表された際にはその採用を加速させることを強く推奨する。
Device loss scenarios デバイスの紛失シナリオ
Users are largely unsure about the implications for their passkeys if they lose or break their device, as it seems their device holds the entire capability to authenticate. To trust passkeys as a replacement for the password, users need to be prepared and know what to do in the event of losing one – or all – of their devices. ユーザーは、デバイスを紛失したり破損した場合にパスキーにどのような影響があるのか、ほとんど理解していない。なぜなら、デバイスの認証機能がすべてデバイスに保存されているように見えるからだ。パスワードの代替としてパスキーを信頼するには、ユーザーは、デバイスを1台または複数台紛失した場合にどうすべきか、事前に準備しておく必要がある。
Backing up and synchronising passkeys with a Credential Manager makes it easier to recover access to them compared to other existing second factor options. However, this relies on the user having prepared their Credential Manager account for recovery. Users need help in understanding and implementing the right steps so they can feel ready to go passwordless and use passkeys without extra worry and hassle. パスキーを認証情報マネージャーでバックアップおよび同期化しておけば、他の既存の第二要素オプションと比較して、アクセスを回復しやすくなる。ただし、これはユーザーが認証情報マネージャーのアカウントを回復用に準備していることが前提となる。ユーザーがパスワードなしでパスキーを安心して手間なく使えるように、正しい手順を理解し、実行できるよう支援する必要がある。
Migration issues 移行に関する問題
Passkeys are ‘long life’ because users can’t forget them or create one that is weak, so if they’re done well there should be no need to reset or update them. As a result, there’s an increased likelihood that at some point a user will want to move their passkeys to the Credential Manager of a different vendor or platform. This is currently challenging to do, but FIDO and vendors are actively working to address this issue and we wait to see support for this take hold across the market. パスキーは「長寿命」である。なぜなら、ユーザーがパスキーを忘れたり、脆弱なパスキーを作成したりすることはないため、適切に実行されていれば、パスキーをリセットしたり更新したりする必要はないはずである。その結果、いずれはユーザーがパスキーを別のベンダーやプラットフォームのクレデンシャルマネージャーに移行したいと考える可能性が高くなる。これは現在では難しいが、FIDOと各ベンダーは、この問題の解決に向けて積極的に取り組んでおり、市場全体でこのサポートが定着するのを待っている。
Account recovery processes アカウント復旧プロセス
For passkey-protected accounts, potential attackers are now more likely to focus on finding weaknesses in account recovery and reset requests – whether by email, phone or chat – and pivot to phishing for recovery keys. These processes need to be sufficiently hardened by providers to prevent trivial abuse by these attackers and to maintain the security benefits of using passkeys. Users also need to be educated on how to spot and report abuse of these processes before their accounts are compromised. This problem is not unique to passkeys, but as passkeys begin to successfully frustrate attackers on a large scale, it’s likely that attackers will increasingly shift their focus to these methods. パスキーで防御されたアカウントの場合、潜在的な攻撃者は、電子メール、電話、チャットなどによるアカウント復旧やリセットのリクエストの脆弱性を見つけ、復旧キーを狙ったフィッシングに転換する可能性が高くなる。これらのプロセスは、プロバイダによって十分に強化され、攻撃者による些細な悪用を防ぎ、パスキーを使用することによるセキュリティ上の利点を維持する必要がある。また、ユーザーは、アカウントが侵害される前に、これらのプロセスの悪用を発見し報告する方法について教育を受ける必要がある。この問題はパスキー特有のものではないが、パスキーが攻撃者を大規模に阻止することに成功し始めているため、攻撃者はますますこれらの方法に焦点を移す可能性が高い。
Platform differences プラットフォームの違い
Different platforms use different terms to describe the process of passkey logins, which can confuse users and put them off using passkeys. Vendors will need to work together and with the FIDO Alliance to agree on consistent, accessible language and avoid working in silos. This will help users have confidence in what they are using across their digital lives. 異なるプラットフォームでは、パスキーログインのプロセスを説明する際に異なる用語を使用しているため、ユーザーが混乱し、パスキーの利用をためらう可能性がある。ベンダーは協力し、FIDOアライアンスと連携して、一貫性があり、アクセスしやすい用語に合意し、サイロ化された作業を避ける必要がある。これにより、ユーザーはデジタルライフ全体で使用しているものに自信を持つことができる。
Suitability for all scenarios あらゆるシナリオへの適合性
Using passkeys assumes that the user has exclusive, private access to an account or device for preparing and accessing the Credential Manager holding their passkeys. However, this is not always the case, such as in households where multiple people use the same phone or tablet, for individuals who don’t have their own modern device and primarily access the internet at places like libraries, and for people for whom biometrics don’t work well. Platform providers need to ensure that all users have a personal and private means of accessing their Credential Manager. パスキーを使用するには、パスキーを保管するクレデンシャルマネージャーを準備し、アクセスするために、ユーザーがアカウントやデバイスに排他的に、かつプライベートにアクセスできることが前提となる。しかし、これは必ずしも常に当てはまるわけではない。例えば、同じ電話やタブレットを複数の人が使用する家庭や、最新のデバイスを持たず、主に図書館などの場所でインターネットにアクセスする個人、生体認証がうまく機能しない人々などが該当する。プラットフォームプロバイダは、すべてのユーザーがクレデンシャルマネージャーに個人的かつプライベートにアクセスできる手段を確保する必要がある。
Further problems for apps that want to use passkeys パスキーを使用したいアプリのさらなる問題
There are additional problems for apps and websites that would like to offer passkeys as a way to sign in (known as ‘relying parties’) such as: ログイン方法としてパスキーを提供したいアプリやウェブサイト(「信頼当事者」として知られている)には、次のようなさらなる問題がある。
Implementation complexity 実装の複雑さ
It's challenging to offer passkeys to users for services that currently use multiple domains for authentication (such as account.example.co.uk and account.example.com) and users might need multiple passkeys to sign in to what appears to be the same service. The FIDO Alliance and the industry is working on this problem but it isn’t yet effectively accepted and established. 現在、複数のドメイン(account.example.co.uk や account.example.com など)を使用して認証を行っているサービスでパスキーをユーザーに提供するのは困難であり、ユーザーは同じサービスにログインする際に複数のパスキーが必要になる可能性がある。FIDO アライアンスと業界は、この問題に取り組んでいるが、まだ効果的に受け入れられ、確立されているわけではない。
Inconsistent use 一貫性のない使用
There's no consensus on when passkeys should be used in a sign-in journey or how much assurance each ‘flavour' of passkey provides. As a result, some websites choose to ask for a passkey and an additional factor, while others allow passkey-only sign-ins. パスキーをサインインの過程でいつ使用すべきか、また、パスキーの各「種類」がどの程度の保証を提供するかについては、コンセンサスが得られていない。その結果、一部のウェブサイトではパスキーと追加要素の両方を求めるが、他のサイトではパスキーのみでサインインを許可している。
Uncertainty around multi-factor status マルチファクタ認証としての不確実性
Website owners and regulators haven’t yet reached a consensus on whether all ‘flavours’ of passkey count as ‘multi-factor’ (or equivalent) when the user is verified, typically with local-device biometrics or a PIN. ウェブサイト所有者と規制当局は、ユーザーがローカルデバイスの生体認証やPINなどで認証された場合、すべての「パスキーのフレーバー」が「多要素認証」(または同等)としてカウントされるかどうかについて、まだコンセンサスに達していない。
Uncertainty around syncing and sharing 同期と共有に関する不確実性
For the most critical and sensitive accounts where verifiable user identity is required – for example bank accounts or those connected with power of attorney – there's also uncertainty about whether passkeys which can be synced and shared are secure enough on their own. Work is still ongoing to agree and define methods of resolving this. 検証可能なユーザーIDが求められる最も重要で機密性の高いアカウント(例えば銀行口座や委任状に関連するもの)については、同期や共有が可能なパスキーが単独で十分なセキュリティを確保できるかどうかも不確かである。この問題の解決方法について合意し定義する作業は現在も継続中である。
What is the NCSC doing about passkeys? NCSCはパスキーに関してどのような取り組みを行っているのか?
We’d like passkeys to be our default authentication recommendation and for passkeys to be widely deployed. To enable that, the NCSC is doing the following: パスキーをデフォルトの認証として推奨し、広く展開したいと考えている。これを実現するために、NCSCは以下の取り組みを行っている。
・Working with FIDO and vendors on the above challenges. ・FIDOおよびベンダーと協力し、上記の課題に取り組んでいる。
・Encouraging UK organisations to make passkeys available as an option to users. ・英国の組織に対して、パスキーをユーザーのオプションとして利用できるようにすることを推奨している。
・Exploring where the UK government can lead by example, such as by giving citizens the option to use passkeys to access central government services with GOV.UK One Login. ・英国政府が率先してできることを模索している。例えば、GOV.UK One Loginで中央政府サービスにアクセスする際にパスキーを使用するオプションを市民に提供するなど。
・Reviewing the regulatory environment and updating rules and standards (such as GPG 44) that underpin how UK organisations offer services to customers to ensure that sites are able to offer passkeys. ・規制環境を見直し、英国の組織が顧客にサービスを提供する手法を支えるルールや標準(GPG 44など)を更新し、サイトがパスキーを提供できるようにする。
・Encouraging organisations – once the technology and underpinning standards mature – to offer passkeys as default for their customers and citizen users. ・技術とそれを支える標準が成熟した段階で、組織が顧客や市民ユーザーに対してデフォルトでパスキーを提供することを奨励する。
In summary, the NCSC believes passkeys are the future of online authentication – for a business authenticating its customers, or a government service authenticating its citizens – and we’re working to make this a reality as soon as possible. But achieving this vision needs an intensified effort from all parties and greater collaboration to cohere the vision and prevent it fragmenting to the extent that users disengage. まとめると、NCSCはパスキーがオンライン認証の未来であると信じており、企業が顧客を認証する場合や、政府サービスが市民を認証する場合にパスキーが利用されることを期待している。そして、この実現をできるだけ早く実現するために取り組んでいる。しかし、このビジョンを実現するには、すべての関係者による一層の努力と、ビジョンをまとめるためのより緊密な連携が必要であり、ユーザーが離れてしまうほどにビジョンが分裂しないようにする必要がある。
Should you be using passkeys now? 現在、パスキーを使用すべきだろうか?
If you own a service that needs to authenticate users then – ideally – yes, but you’ll need to consider whether you can mitigate the challenges for your userbase first. ユーザー認証が必要なサービスを所有している場合は、理想的には「はい」だが、まずはユーザーベースの課題を緩和できるかどうかを検討する必要がある。
If you’re a user who has read this far, then almost definitely yes! ここまで読んでくださったユーザーであれば、ほぼ間違いなく「はい」だ。
Passkeys protect you from the most widespread attacks that lead to abuse of legitimate credentials, and modern devices make them as effortless to use as passwords. But as we’ve highlighted, there are still some challenges to getting them fully adopted across all services. The NCSC will be working with vendors, websites that authenticate users and users themselves to resolve these problems. パスキーは、正当な認証情報の悪用につながる最も広範な攻撃からユーザーを防御する。また、最新のデバイスでは、パスワードと同様に簡単に使用できる。しかし、これまで強調してきたように、すべてのサービスでパスキーが完全に採用されるには、まだいくつかの課題がある。NCSCは、ベンダー、ユーザー認証を行うウェブサイト、そしてユーザーと協力し、これらの問題の解決に取り組んでいく。
Please get in touch with us if you’d like to give feedback, comment or ask a question. フィードバックやコメント、質問などがありましたら、ぜひご連絡ください。
Ollie Whitehouse オリー・ホワイトハウス
NCSC Chief Technical Officer NCSC最高技術責任者
David C デビッド・C
Technical Director for Platforms Research プラットフォーム研究技術ディレクター
James L ジェームズ・L
Senior Security Researcher シニアセキュリティ研究者

 

 

|

« 中国 CNCERT 米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案についての報告書 (2025.01.17) | Main | 米国 トランプ大統領が大統領令14110 人工知能の安全、安心、信頼できる開発と利用を含む67の大統領令と11の覚書を撤回する大統領令を出しましたね...(2025.01.20) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 CNCERT 米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案についての報告書 (2025.01.17) | Main | 米国 トランプ大統領が大統領令14110 人工知能の安全、安心、信頼できる開発と利用を含む67の大統領令と11の覚書を撤回する大統領令を出しましたね...(2025.01.20) »