タグ: Authenticator

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

心拍認証のBionymが早くもシリーズAで$14Mの大金を獲得…パスワード離れが一大産業に?

トロントのBionymがシリーズAで1400万ドルの資金を獲得した。主な投資家はIgnition Partners、Relay Ventures、MasterCard、そしてSalesforce Venturesだ。このラウンドはほかにいわゆる戦略的投資も多くて、たとえばExport Development Canadaはこのプロダクトの、企業向けのセキュリティ機能に着目している。

Bionymの技術は、高度な心電図(electrocardiogram, ECG)センサをNymiと呼ばれるリストバンド(腕輪)に組み込む。そのリストバンドは装着者のECGを自分が保存しているプロフィールと比較して彼/彼女の本人性を確かめる。そして本人がそのリストバンドを着けている間はずっと、無線通信でそのほかのデバイスを認証する。いったん外したら、再度ECGによる再認証が必要だ。

Nymiは同社の最初の製品にすぎないが、すでにデベロッパたちの手に渡って、この秋の終わりごろを予定している消費者向けローンチの準備が進められている。Nymiの予約キャンペーンでは、これまで1万を超えるオーダーが来ている。今回の資金で生産と発売を確実にするとともに、新たな雇用も行う。2011年に創業したBionymは現在社員数が約40名に増えており、最近トロント都心部の大きなオフィスに引っ越したばかりだ。

Bionymの最初の資金調達は2013年8月に終了した140万ドルのシードラウンドで、そのときはRelay VenturesやDaniel Debow、およびそのほかのエンジェルたちが投資した。今回はMasterCardやSalesforce、EDCなどが参加したことにより、戦略的パートナーシップの色彩も濃くなっている。Nymiは商業方面のアプリケーションに多大なる可能性があり、ほかにも、ホスピタリティー産業や、さまざまなエンタプライズアプリケーションで機会がありそうだ。

Appleは同社のTouch ID技術のAPIを公開することにより、これを、さまざまなアプリケーションやサードパーティサービスにおける中核的な認証方式にしたいらしい。しかしBionym社はNymiのようなバイオメトリックな方法の将来性に賭けており、そのセキュリティは指紋を使う方法にまさる、と考えている。また応用製品はリストバンド以外にもいろいろありえるので、今後の製品の多様化にも着目したい。

Bionymという特定の技術の行く末はともかくとして、パスワードの時代は明らかに去りつつあるようだ。ハードウェアとデバイスに基づく技術が台頭しており、今回のBionymへの投資も、パスワード無用化に向けての関心が大きくなっていることの表れだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))