By:FIDOスタッフ
Authenticate 2022会議の2日目は、決済セキュリティ、バイオメトリクス、国民ID、デザインシステムなど、認証の世界のさまざまな側面にまたがるトピックとスピーカーが混在した。
この日は、Visaのシニア・ディレクターであるダグ・フィッシャー氏の基調講演で幕を開け、世界の決済システムの現状と直面している課題について語った。 フィッシャー氏は、eコマース詐欺は依然として蔓延しているリスクだが、強力なオンライン認証は詐欺を減らすのに役立つと指摘した。
eコマースにおける認証強化の課題は、消費者の購買プロセスに摩擦をもたらし、ショッピング・カートの放棄につながることである。 この問題を解決するために、 FIDO アライアンス、EMVCo、W3Cが協力して相互運用性を向上させ、支払い認証の摩擦を減らしようとしているとフィッシャー氏は説明しました。 この共同作業は、現在開発中のSPC(Secure Payment Confirmation)標準につながった。
「SPCは現在開発中のウェブ標準であり、WebAuthn上に構築されている。
とフィッシャー。 「SPCとFIDOはピーナッツバターとゼリーのように相性がいい。
MFAの危険性
すべての多要素認証(MFA)技術が同じであるわけではない、というのがKnowBe4のデータドリブン・ディフェンス・エバンジェリスト、ロジャー・グライムズ氏が率いたセッションの主なメッセージだった。
グライムズ氏は、攻撃者が脆弱なユーザーを悪用できる可能性のあるMFAバイパス技術の数々を概説した。 しかし、FIDOベースの強力な認証はMFAとは異なり、バイパス技術を可能にする中間者攻撃の多くを排除するのに役立つと強調した。
「MFA攻撃は何十年も前からあったが、今年主流になりつつあるのは確かだ」とグライムスは言う。
非FIDO MFAのリスクは、BankIDのCTOであるヘイッキ・パーム・ヘンリクセンにとって最重要事項である。
ヘンリクセンの組織は、ノルウェーで広く使われているデジタルIDを提供している。 BankIDは2020年にFIDOを検討し始め、アライアンスが作成した洞察に満ちたホワイトペーパーを発見した。
「FIDO2が、私たちの目標を達成するためにBankIDを近代化する最良のソリューションであることがわかりました」とヘンリクセンは語った。
FIDOにおけるバイオメトリックの考慮点
強力な認証は、指紋リーダーや顔認識システムなどのバイオメトリクスを認証手段として利用することができる。
しかし、バイオメトリック・システムに誤りや偏りがないとは言い切れない。クラークソン大学本人確認技術研究センター(CITeR)のステファニー・シュッカーズ所長は、この問題について次のように述べた。
「バイオメトリクスに関連するバイアスについて話すとき、我々が本当に話しているのは、人口統計学や人口統計学的差異によるパフォーマンスのばらつきのことです」と彼女は言う。
シャッカーズ氏は、バイアスはバイオメトリクス認識の分野全体ではなく、使用されている特定の技術実装に関係していると強調した。 テストと認証を通じて、潜在的なバイアスのリスクをよりよく理解し、減らすことができる。
アマゾンの主席AI/ML標準のグレッグ・キャノン氏は、シュッカーズ氏のパネルセッションに参加し、その目的はパスワードをなくすことであり、バイオメトリクスはそのための素晴らしい技術であると強調した。
生体認証のなりすましは、テストが解決に役立つ懸念事項であるという点を説明するために、シャッカーズはステージ上に自分の顔のマスクを含むいくつかの小道具を持ち込んだ。
コンシューマー 認証の習慣
ユーザが認証をどのように見ているかを理解することは、採用を改善するために何をすべきかを理解する上で重要な側面である。
FIDO アライアンスは、認証技術のトレンドと採用について、消費者の習慣を調べる調査を毎年実施しています。 FIDO アライアンスのマーケティング担当シニアディレクターであるMegan Shamas氏は、2022年の調査では、ユーザーがパスワードを入力する回数が一部の点で例年よりも少なくなっていることが示されていると述べていますが、データは決定的なものではありません。
バイオメトリクスに対する認識も、パスワードの使用をなくすための潜在的な方法として、再確認されている。
「バイオメトリクスに対する消費者のセンチメントには非常に満足しています」とシャマスは言う。 「実際、われわれが調査した多くの消費者は、これが最も安全なログイン方法だと感じている」。
リモート認証詐欺の減少に貢献
ボストン連邦準備銀行のセキュア・ペイメント・イノベーション&リサーチ担当バイス・プレジデントであるマリアンヌ・クロウ氏は、壇上で、不正行為に対する安全性を確保するために、認証エコシステム全体でより協力するよう求めた。
クロウ氏は、パスワードに対する消費者の疲労があり、多くのユーザーが複数のサイトで同じパスワードを再利用しているが、これは危険な行為であると指摘した。 MFAは有用だが、消費者への提示の仕方には一貫性がないことが多い、と彼女は指摘する。
「MFAを義務付けられていない業界や企業でも、MFAの導入と普及を進めなければならない」とクロウは言う。
デザインシステムがFIDOに登場
認証、特にFIDOに基づく強固な認証に一貫性を持たせる方法のひとつは、デザイン・システムを使用することである。
組織は、原則、パターン、再利用可能なコンポーネントを提供する fidoalliance.org/design-system のFIDOデザインシステムを利用できるようになりました。
「Trusonaのチーフ・エクスペリエンス・オフィサーであるケビン・ゴールドマンは、「私たちがこれらをまとめた意図は、製品設計者、プロジェクト・マネージャー、プロダクト・マネージャー、エンジニアにとって、FIDOの導入をよりシンプルかつ迅速にすることです。 「われわれの意図は、彼らが自身の設計システムで認証にまつわるギャップを埋めることだ」。
Authenticate 2022の最終日は、有益なコンテンツ、思慮深いディスカッション、より多くのユーザーストーリー、そして組織がパスワードレスの未来に移行するためのベストプラクティスで満載の1日となりそうだ。 バーチャル参加登録はまだ可能で、登録者全員がオンデマンドで過去のセッションにアクセスできる。 登録はwww.authenticatecon.com。
