見出し画像
Photo by lcopo

読メモ:Convincing a billion users to love passkeys

yukiko

二要素認証からパスキーによる認証への移行を、コンシューマーにどのように促したのかというマイクロソフトの記録です。結論としては、利用者の抵抗感に起因する課題について、テクニカルな細かい工夫によって導入フェーズにおける課題は減らせる、ということが本ブログの主旨ですが、改めてパスキーについておさらいするという意味でもこちらを読み進めていきたいと思います。


パスキーに関するおさらい

パスキーとは、デバイスに格納された秘密鍵を利用して公開鍵暗号方式で認証を行う仕組みです。仮に、認証のために生成された署名を盗聴する人が現れたとしても、署名は毎回異なるために使いまわすことができず、また、端末にログインするための PIN や生体認証情報はインターネット上に流れないので流出することがほぼないため、現在では最も安全と言われる認証方法です。こちらの記事を元に、パスキーの有効性をおさらいしておきます。

物理的な所持が要求される

パスキーはユーザーごと、デバイスごとに異なるため、ハッカーがパスキーを推測することや盗むことは、ほぼ不可能です。ハッカーが何らかの方法でパスキーを知り得たとしても、実際に使用するには、当該ユーザーのデバイスを物理的に操作できる必要があります。

フィッシング攻撃に対する保護の強化

パスキーは、特定のデバイスを物理的に所持していないと使用できません。パスキーを使用している場合、万一フィッシングの被害に遭っても、攻撃者がアカウントにアクセスするには、当該ユーザーのデバイスにのみ保存されている物理的なパスキーを使用する必要があります。

アカウントののっとりのリスクの軽減

パスキーが侵害された場合も、攻撃者が認証プロセスを完了するには、そのパスキーに関連付けられたデバイスを物理的に操作する必要があるため、やはりアカウント乗っ取りのリスクは下がると言えます。

セキュリティ基準への準拠

パスキーでは、金融、医療、政府機関など規制対象となる業界のセキュリティ基準とコンプライアンス要件を多くの場合に満たし、または上回ることができます。

回復のセキュリティ

従来方式のサインイン資格情報では、資格情報を紛失したユーザーがアカウントへのアクセスを回復するには、多くの場合、パスワードの再設定や、何らかの形式の二要素認証が求められます。パスキーを利用していれば、当該ユーザーのデバイス間で安全に同期できます。

コンシューマーにパスキーの導入を促す

掲題のブログの中身に戻りますが、実際にコンシューマーにパスキーの導入を促すための具体的な UX 観点での工夫が行われたということで、紹介されているものを見てみましょう。

  1. パスキーという言葉自体になじみが薄いユーザーも多いことから、設定画面では「顔、指紋、PIN またはセキュリティキー」というイメージしやすい用語を使った。

  2. パスキーが最善の認証方法であるということを周知しようとした。「セキュリティの向上」や「サインインの迅速化」をテーマにしたメッセージは、「使いやすさ」よりも多くのユーザーの共感を得られることを発見したため、これらのメッセージを前面に押し出した。

  3. ユーザーがナッジを見てパスキーの登録を選択する場合もあれば、今が適切な時期ではないと判断する場合があります。その場合、「今のところスキップ」という選択肢を表示することで、ユーザーがまだパスキーを登録する準備ができていないことを尊重します。また、ユーザーを圧倒しないようにナッジを表示する頻度を決定するロジックを実装しつつも、パスキーの招待を永続的にオプトアウトできるようにはしていません。こうして、パスキーが新しい標準になるという考えにユーザーが慣れるように促します。

  4. スケールの段階では、新しい UX を採用しました。ユーザーがまだパスキーを持っていない場合、次に利用可能な最適な資格情報が決定されます。ユーザーが認証に成功したら、すぐにパスキーの登録をお願いします。その場合、次回サインインするときには、パスキーが利用可能な最適な資格情報になり、新しい既定値として設定されます。この新しいデザインの最初のリリースでは、パスワードの使用が 10% 減少し、パスキーの使用が 987% 増加しました。

結局のところ、パスキーとは サインインのセキュリティを確保 | Microsoft Security の中でも「よくある課題」として述べられているのは、利用者の抵抗感に起因する問題で、しかしながら、上に列挙されたような現実的な工夫によって導入フェーズにおける課題は減らせる、ということがブログの主旨でした。

おまけで FIDO アライアンスについて

このブログの中で、FIDO アライアンスというアライアンスに関する情報が出てきました。FIDO アライアンスのサイトでは、消費者の認証に関する動向のレポートなどを読むことができ、あるレポートでは「42%の人がパスワードを覚えていないために、過去1か月に少なくとも1回は購入を断念しています。」というような報告もあり、認証と購買意欲にそういった関連性も見られるのかと、個人的な学びになりました。また、デザインのガイドラインなども出されているので、各サービスの認証画面が、こういったガイドラインに沿う形でデザインされているのかという視点でサービスを見ていくのも面白いかなと思いました。

参照元:パスキーとは サインインのセキュリティを確保 | Microsoft Security
10 億人のユーザーにパスキーを愛するよう説得する: Microsoft の UX デザインの洞察により、導入とセキュリティを強化 |Microsoft セキュリティ ブログ
FIDO Research - FIDO Alliance

いいなと思ったら応援しよう!