WebAuthn によるパスワードレス認証 | ワードプレス

WebAuthn によるパスワードレス認証

パスワードレス認証を使用すると、ユーザーはパスワードを覚えなくてもログインできます。 WebAuthn を使用すると、従来のユーザー名とパスワードの代わりに、デバイスにすでに設定されているログイン方法を使用できます。 したがって、Web 認証を使用すると、携帯電話の指紋センサーや PC の Windows Hello を使用したり、Apple ID を使用して任意の Web サイトにログインしたりすることもできます。

サポートされている方法には次のものが含まれますが、これらに限定されません。

• Windows Hello
• ノートパソコン/モバイルの両方に指紋センサーを搭載
• WindowsPIN
• ユビキー
• 顔認証

ほとんどのユーザーは、異なるシステムに対して同じ資格情報を使用する可能性があります。 これにより、資格情報が漏洩したり、不正なユーザーによって取得された場合、これらすべての Web サイトのセキュリティが大幅に弱まります。 Web 認証は、インターネットの新時代とそこに含まれる新しいテクノロジのために作成された、かなり新しい仕様です。 さまざまな認証方法を使用するためのリソースとインフラストラクチャを提供します。

前任者とは異なり、WebAuthn は今後も存続するはずです。 仕様の細部は複雑ですが、Web 認証は実際に実装するのが非常に簡単です。 これを書いている時点では、Chrome と Firefox の両方に WebAuthn に必要なデータ型があり、Firefox の Nightly Build は認証情報を作成して要求できます。 この新しい標準がパスワードの将来に何を意味するかについては後ほど説明します (申し訳ありませんが、おそらく明日には廃止されないでしょう)。その前に、WebAuthn API のコア コンポーネントについてもう少し詳しく説明します。

Web 認証と従来の認証方法の比較

WebAuthn が提供したい大きなものは、「ユーザーの何か」に基づく生体認証の多要素認証です。 ユーザーは (ほとんどの場合)、そのユーザーに固有の音声、指紋、または網膜を持っています。 現在、ほとんどのユーザーが所有しているのは、スマートフォンなどの生体認証デバイスです。このデバイスは、このデータを使用して、これらの固有の特性を通じてユーザーのみがアクセスできる認証情報を作成および管理できます。
実際の WebAUthn の実装を確認するには、ログイン方法として Web 認証をネイティブにサポートしている Github にアクセスしてください。 Web デモの場合は、実装全体をここで見ることができます。 https://webauthn.io/

WordPress Web サイトで WebAuthn を有効にする

miniOrange は現在、WordPress Web サイトで WebAUthn を確実に動作させる唯一の方法です。 Two Factor Authentication プラグインを使用すると、Web 認証を第 15 要素として使用できるようになります。 miniOrage は、複数のプラットフォーム (WordPress、Atlassian、Drupal、Magento、Moodle) に安全な XNUMX 要素認証メカニズムのプラグインを提供し、会社のデータベースと Web サイトに追加のセキュリティ層を追加します。 これらのプラグインを通じて、意図的または偶然にユーザーの資格情報が他人と共有されることを制限できるいくつかの認証方法にアクセスできるようになります。 ユーザーが正しいユーザー名とパスワードを入力すると、正常にログインするために XNUMX 要素認証ページが表示されます。 OTP over Email、OTP over SMS、ハードウェア トークン、QR コード認証、Google 認証システムなどを含む XNUMX 以上の認証方法を提供しています。

WebAuthn によるパスワードレス認証の利点は何ですか?

• より良いセキュリティ

  ユーザーがパスワードを再利用し、他のユーザーとパスワードを共有できるため、ユーザー制御のパスワードは重大な脆弱性です。
  
  パスワードレス認証システムのセキュリティは、必要な ID の証明とその実装に依存します。
  
  たとえば、アカウント所有者のモバイル デバイスへの安全なプッシュ通知を使用することは、一般にパスワードよりも安全であると考えられています。 モバイル デバイス上の SMS 経由のワン タイム パスワードは、通常、従来のユーザー名とパスワードの組み合わせとは別に、認証の XNUMX 番目の要素として使用されます。




• より良いコントロール

  パスワードに依存する場合、フィッシング、再利用、共有が一般的な問題になります。パスワードなしでログインすると、ユーザーは自分のアカウントをより適切に制御できるようになり、フィッシングの影響を受けにくくなります。
  パスワードが不要になると、ユーザー エクスペリエンスとセキュリティの両方が向上します。

WebAuthn によるパスワードレス ログインは何を防ぎますか?

• パスワードスプレー

  パスワード スプレーとは、一般的に使用される少数のパスワードを使用して多数のアカウント (ユーザー名) にアクセスしようとする攻撃です。 従来のブルートフォース攻撃は、パスワードを推測することで単一のアカウントへの不正アクセスを試みます。
  
  パスワードスプレーでは、攻撃者は一般的に使用されるパスワードのリストからユーザー名とパスワードの組み合わせを試みます。




• 認証情報のスタッフィング

  クレデンシャル スタッフィングは、ユーザー名とそのパスワードのリストから構成される盗まれたクレデンシャルを使用する攻撃の一種です。 資格情報スタッフィングは、ユーザーの資格情報を推測しようとせず、漏洩した資格情報のリストを使用するという点でブルート フォース攻撃とは異なります。
  
  クレデンシャル スタッフィング攻撃が発生する可能性があるのは、多くのユーザーが同じユーザー名とパスワードの組み合わせを複数のサイトで再利用しているためです。ある調査によると、ユーザーの 81% が 25 つ以上のサイトでパスワードを再利用しており、ユーザーの XNUMX% が大多数のサイトで同じパスワードを使用しています。彼らのアカウント。




• ブルートフォース攻撃

  ブルートフォース攻撃とは、ユーザー名とパスワードの組み合わせを試行錯誤によって推測する攻撃の一種です。 これは、毎回異なる組み合わせでログイン試行を繰り返すことで構成されます。 短いパスワードの推測は比較的簡単ですが、長いパスワードや暗号化キーの場合は必ずしも当てはまりません。パスワードやキーが長ければ長いほど、ブルート フォース攻撃の難易度は指数関数的に高まります。

WebAuthn を使用した miniOrange 2 要素認証プラグインを使用した WordPress へのパスワードレス ログイン

ログインは、ユーザー名と 2 要素、またはユーザーの役割に基づいて決定できるユーザー名のみで行うことができます。 ロールでパスワードなしのログインが許可されていない場合は、パスワードとユーザー名を使用してログインします。

次の XNUMX つのオプションがあります。

• パスワード + 2 番目の要素でログイン:

  WordPress のユーザー名とパスワードを使用してログインし、その後 2 要素認証を行うことができます。




• 2 番目の要素のみでログインします。

  この 2 番目のオプションでは、ユーザー名 + パスワードとユーザー名 + XNUMX 要素認証のバリエーションが同じウィンドウに表示されます。

WordPress ログインに関連するアドオンには何がありますか?

• ユーザー登録時に WordPress ユーザーに XNUMX 要素認証を強制する

  WordPress ログイン用の miniOrange 二要素プラグインを使用すると、WordPress ユーザーに、インライン登録中に Telegram 認証を設定するように通知し、WordPress アカウントに XNUMX 番目のセキュリティ層が追加されるようにすることができます。



• Woocommerce フォームと互換性のある XNUMX 要素認証

  この検証方法は、ほぼすべての WordPress ログイン フォームおよび WooCommerce フォームと互換性があります。



• XNUMX要素認証によるパスワードレスログイン

  簡単な手順で Telegram 認証を設定することで、安心して WordPress ログインにパスワードレス ログインを設定できます。



• セミオーダーサービス

  miniOrange ログイン セキュリティにはカスタマイズ オプションも用意されています。 WordPress Web サイトのデザインに応じて、XNUMX 要素プロンプトのユーザー インターフェイスをカスタマイズできます。



• バックアップ方法

  XNUMX 要素認証機能を失った場合に備えて、WordPress アカウントに戻るための代替の XNUMX 要素認証方法や追加のセキュリティ ソリューションなどのバックアップ方法も利用できます。