今日、すべての組織がパスワード関連の課題に直面しています。たとえば、フィッシング キャンペーン、生産性の低下、パスワード管理コストなどです。パスワードに関しては、今やリスクがメリットを上回ります。最も強力なパスワードでさえ、簡単にフィッシング可能であり、パスワード スプレーやクレデンシャル スタッフィングなどの攻撃に対して脆弱です。 調査対象者の 3 分の 1 は、パスワードをリセットするよりも Web サイトを放棄したいと言っています。 「もうパスワードが残っていない」というのは、あまりにも一般的な感情になりつつあります。高度に安全で便利な代替パスワードを検討するときが来ました。組織でパスワードレスを計画および展開する際に役立ついくつかの重要なリソースを次に示します。
1. パスワードレス認証のための組織の準備
現在、サインインをより簡単かつ安全にするためのテクノロジが存在します。 WebAuthn と CTAP2 の 2 つのプロトコルは、FIDO2 標準として知られるものを形成します。これにより、組織は認証方法を、パスワードにまったく依存しない強力なハードウェア支援の多要素認証オプションにアップグレードできます。代わりに、物理キー、ラップトップ、またはモバイル アプリを資格情報として使用できます。お客様からよく聞かれる 2 つの質問は、どの方法を選択すればよいか、どのように開始すればよいかということです。
最近、 Passwordless Protection ホワイトペーパーの更新を公開しました。このホワイトペーパーでは、さまざまな認証方法、導入戦略、およびユース ケースを分析しています。このガイドは、戦略を検討するための優れた出発点と、パスワードレス認証のしくみと各オプションの要件の基本的な理解を提供します。
パスワードレスを好む 10 の理由
今年、私の同僚は、一連のブログ投稿パスワードレスを愛する 10 の理由も作成しました。これは、ホワイトペーパーの多くの概念を拡張したものです。
- 業界で開発および採用されているFIDO2 ベースの資格情報。
- 米国国立標準技術研究所 (NIST) の Authenticator Assurance Level 2 および 3 (AAL2 および AAL3) への準拠。
- ユーザーを一意かつ安全に識別するためにローカルに保存される生体認証。
- PC に組み込まれているWindows Helloを使用すると、サインインが高速化されます。
- プラットフォーム間で機能するさまざまなフォーム ファクタのポータブル セキュリティ キー。
- パスワードのリセット要求によるヘルプデスクの節約。
- スマートフォンのMicrosoft Authenticator アプリによる便利なサインイン。
- 侵害のリスクを 99.9% 以上削減する、フィッシング耐性のある資格情報。
- 一時アクセス パスを使用して、パスワードなしの認証情報を簡単にセットアップおよび復元できます。
- ユーザーが生産性と安全性を確保するためにパスワードは必要ありません。
2. パスワードレス展開の計画
パスワードレス認証導入ガイドを確認してください。このガイドでは、プロジェクトの計画方法、さまざまな方法の導入方法、パスワードレス認証のポリシーの管理方法について、お客様との何千もの実装から学んだことに基づいて詳しく説明しています。 Microsoft 管理コンソールのパスワードなしの推奨ツールを使用して、対象ユーザーごとに適切な方法を選択してください。
また、ビデオMicrosoft Mechanicsから、Microsoft Azure Active Directory のパスワードレス機能のハンズオン ツアーを取得することもできます。Joy Chik は、コーポレート バイス プレジデント (ID およびネットワーク アクセス) であり、Jeremy Chapman がホストを務めています。
3. 専門家から学ぶ
データは役に立ちますが、経験のある人の話を聞きたい場合もあります。 Your Passwordless Future Starts Nowデジタル イベントをオンデマンドでご覧ください。ここでは、パスワードレス認証と、組織全体のパスワードレス戦略を採用するためのベスト プラクティスについて詳しく説明します。
次の方法を学習します。
- セキュリティ リスクを軽減します。アイデンティティ プログラム管理担当コーポレート バイス プレジデントのAlex Simons 、ID セキュリティ担当ディレクターのAlex Weinert 、および ID 標準担当ディレクターのPamela Dingleが、お客様が直面しているパスワードの課題と、パスワードレス テクノロジへの移行のメリットについて説明します。バイオメトリクスのようなパスワードを使用しない方法により、ユーザーのサインインがはるかに簡単になりますが、攻撃者がフィッシング キャンペーンを成功させることははるかに困難になります。開発者には、パスワードのリスクを軽減する役割もあります。そのため、GitHub の最高セキュリティ責任者であるMike Hanleyは、アプリ開発にパスワードレスをどのように採用したかを共有します。
- 組織に展開します。組織全体のパスワードレス認証がうますぎると思われる場合は、Azure の最高技術責任者であるMark Russinovichと Microsoft の最高セキュリティ責任者であるBret Arsenaultの話を聞いてください。この合同セッションでは、Microsoft でパスワードレス戦略を採用し、ハイブリッド環境にパスワードレスがどこまで拡張できるかの限界をテストすることから学んだ教訓について話します。
- ユーザーがスムーズに移行できるように支援します。パスワードのない組織への移行は、適切なテクノロジだけでなく、人々に新しいものを採用させることでもあります。 The Power of HabitとSmarter, Faster, Betterのニューヨーク タイムズのベストセラー著者であるCharles Duhiggが、なぜ人間が正しいパスワードを取得するのにこれほどまでに苦労するのか、そしてなぜ正しいパスワードを期待するのをやめるべきなのかを説明します。彼は、パスワードの習慣の背後にある心理学を説明し、歴史を見て、サイバーセキュリティのリーダーが人々の安全をどのように支援できるかについての洞察を求めます。
- ゼロ トラストへの第一歩を踏み出しましょう。また、イベントの主催者であるセキュリティ、コンプライアンス、およびアイデンティティ担当コーポレート バイス プレジデントであるVasu Jakkalから、パスワードレスがゼロ トラストセキュリティ戦略の必要な要素である理由についても学びます。すべてのアクセス要求。サイバー攻撃には金銭的および人的コストがかかるため、彼女はデジタル セキュリティを強化するための手順についてアドバイスしています。
もっと詳しく知る
追加のリソースと最新の顧客事例については、 Microsoft パスワードレス Web ページにアクセスしてください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments