Google の視点から見ると、フィッシングから身を守ることは、従業員と顧客のアカウントを保護するための鍵です。 クラウドベースのサービスが消費者と企業内の両方で普及する中、悪意のある攻撃者がデータを危険にさらすのを阻止する唯一のものは、多くの場合、ユーザー名とパスワードです。 FIDOプロトコルを使用した認証では、認証器は、ユーザーが正規のサービスと対話しているという暗号的証拠を提供し、認証器の応答が転送中にキャプチャされたとしても、悪意のあるアクターがユーザーになりすますために正常に再生することはできません。
物理的なセキュリティキーの使用 を要求して以来、85,000 +の従業員に対するフィッシング攻撃は成功していません。
2年以上前、GoogleはFIDO U2Fセキュリティキーの社内実装の結果を発表し、目覚ましい成果を報告しました。 同社によると、物理的なセキュリティキーの使用を要求して以来、85,000 +の従業員に対するフィッシング攻撃は成功していません。 このレポートの公開以来、GoogleはFIDOプロトコルを消費者および企業の認証フローに統合するなど、他にも多くの注目すべき措置を講じています。
最近では、GoogleがTitan Security Keyと呼ばれる独自のU2Fハードウェアセキュリティキーをリリースしました。 Titanセキュリティキーは、使い慣れたUSBセキュリティキーと、ユーザーのスマートフォンを介してセキュリティキーを認証できるBluetoothバージョンの両方を提供します。 Titan Security Keyは一般的に購入可能ですが、主にエンタープライズユーザー、特にGoogleのクラウドサービスをすでに使用しているユーザーを対象としています。
Chrome 70 のリリースにより、Chrome は W3C が最近リリースした WebAuthn 標準で指定されている認証情報管理 API をサポートします。 これにより、Web アプリケーションは、暗号で証明された資格情報を作成して使用し、ユーザーを認証できます。 重要なのは、Google独自のTitanキーやGoogleのPixelbookに組み込まれているキーなどのU2Fセキュリティキーから、AppleのTouchlDなどのローカル生体認証に至るまで、さまざまな強力な認証情報を使用して、ブラウザで完全にパスワードレス認証を行うための基盤が構築されることです。
最終的な目標は、セキュリティキー、デバイス上の生体認証、またはユーザーのモバイルデバイスとの暗号化ハンドシェイクのいずれを利用する場合でも、フィッシングに強い認証プロトコルをできるだけ多くのユーザーに使用させることです。
このケーススタディは、 Javelin Strategy & Researchの「The State of Strong Authentication 2019」レポートに掲載されたものです。
