多要素認証(MFA)は、従来の「ユーザー名+パスワード」認証よりも大幅にセキュリティが向上するとして注目されている。 しかし、すべてのMFAプロセスが同じように作られているわけではない。 サイバー犯罪者にとって、パスワードのみのシステムという低空飛行の果実を摘み取る機会が狭まっているため、彼らは脆弱なMFAに焦点を当てている。
デジタル・システムの拡大、より高度なフィッシング・ツール、認証要素としてのパスワードの継続的な許容のおかげで、MFAを導入しているにもかかわらず、セキュリティ侵害に見舞われる組織が増加している。 マイクロソフト、ウーバー、シスコがMFAの「プロンプト・ボミング」によって侵入された昨年は、組織がどのようなタイプのMFAを導入しても、侵入から安全だと思い込むことはできないことを示している。
こうした理由から、連邦政府行政管理予算局(OMB)とサイバー・インフラ・セキュリティ庁(CISA)は、フィッシングに強いMFA、特にFIDO標準に基づいて構築されたパスワードレスMFAの必要性を強調している。 FIDO標準とそれが認証にとってどのような意味を持つかについては以前にも検証したが、今回はそのプロセスの中で最も重要な要素の1つを見てみよう:FIDO認証オーセンティケータです。