At RSA, our mission has always been to eliminate the weak links in digital security. Today, we’re thrilled to announce a significant milestone in this journey: the preview of our mobile FIDO solution, available in RSA Authenticator app V4.4 for iOS and Android. RSA ID Plus はFIDO2認証サーバーであり、今回のマイルストーンにより、私たちのiOSおよびAndroid向けの認証アプリもFIDO2認証を受けた認証器となりました。translated
これは、安全で直感的でシームレスなユーザ体験のパイオニアであり、パスワードに依存しないという私たちの目標へのコミットメントを示しています。translated
Passwords have long been a critical vulnerability in cybersecurity, relying on human memory and discretion, which often leads to weak, reused passwords. For a long time, we have supported passwordless solutions like QR code, biometrics, one-time passcode, or FIDO2-certified hardware authenticators like the RSA DS100 など、パスワードレスソリューションをサポートしてきました。translated
This latest milestone brings secure passwordless to enterprises by adding device-bound passkey support (mobile FIDO) to our RSA Authenticator app, providing a secure, user-friendly alternative that removes cybercriminals’ favorite vulnerability, enhances organizational security, and keeps users connected and productive.translated
パスキー は、Facebook、Apple、Amazonの消費者向けソリューションへのコミットメントに加えて、 FIDOアライアンス adopted the term “passkey” for any type of FIDO credential. That’s led to some confusion about what exactly an organization means when it uses the word “passkey,” which we’ve tried to (こちらのブログもお読みください).translated
私たちが見つけた最も重要な違いは、デバイスバウンドパスキーと同期パスキーの違いです:translated
- translatedDevice-Bound Passkeys: This type of passkey is created securely and stored on a single device. The private key never leaves the device, ensuring a high level of security. Device-bound passkeys minimize the risk of key exposure and provide robust protection against フィッシング and other cyber threats. This means the passkey cannot be used on another device without manually registering it again, making it the ideal option for enterprise and public sector organizations. These solutions are phishing-resistant and offer a higher degree of security.
- translatedSynced Passkeys: Synced passkeys are stored and synced across multiple devices via cloud services, providing the convenience of accessing services across different devices without needing to register each one individually. They also allow for passkey recovery if the host device is lost, stolen, or replaced, which is especially useful as users often upgrade their mobile phones every couple of years. While this improves user convenience, it requires robust security measures to protect the synced passkeys in the cloud. Synced passkeys may be suitable for consumer use, but they may not offer the same level of security required for federal and enterprise environments.
translatedBy implementing a device-bound passkey solution within the RSA Authenticator app for iOS and Android, we help strengthen our clients’ ゼロトラスト framework, ensuring a deeply integrated and straightforward path to phishing-resistant passwordless authentication. This technology eliminates the weaknesses of traditional passwords, offering a seamless and intuitive user experience.
RSAのUX担当ヘッドであるフィリップ・コリヴォーは、この開発の重要性について次のように強調しています:「RSAでは、セキュリティは障壁であるべきではなく、ユーザエクスペリエンスの一部であるべきだと考えています。RSA Authenticatorアプリにおけるデバイスバウンドパスキーのサポートにより、私たちはセキュリティを向上させるだけでなく、ユーザがデジタルアイデンティティとどのように対話するかを変革しています。」translated
デバイスにバインドされたパスキーは、一般的な攻撃を無効化する複数のセキュリティレイヤーを提供します。translated
- フィッシング: translatedプライベートキーはデバイスから外に出ることがないため、攻撃者はフィッシングの試みを通じてキーを傍受したり盗んだりすることができません。パスキーを直接ユーザのデバイスからフィッシングすることは技術的に不可能です。悪意のある者がクラウドへのアクセスをフィッシングしキーのコピーをダウンロードしようとする可能性はありますが、プライベートキー自体はデバイス上に安全に保たれており、大部分の攻撃を防ぎます。
- translatedソーシャルエンジニアリング: デバイスバウンドパスキーでは、プライベートキーは共有可能でも抽出可能でもありません。ユーザがプライベートキーにアクセスしたり覚えたり扱ったりする必要がないため、ソーシャルエンジニアリング攻撃のリスクが大幅に低減します。攻撃者はユーザが持っていない情報を暴露させるような手口を使うことができません。
- translated中間者攻撃: 攻撃者がサービスと認証器間の通信を傍受しても、公開鍵だけではアクセスを取得することはできません。
translatedほぼすべての組織がモバイルFIDOの恩恵を受けることができますが、このソリューションは特に大統領のサイバーセキュリティ命令 エグゼクティブオーダー14028 に従い、2024会計年度末までに実施する必要がある政府機関にとって価値があります。
Executive Order 14028(EO14028)は、政府機関に対してパスワードレスでフィッシングに強い認証ソリューションを使用するよう求めています。これは、重要なインフラストラクチャの近代化と防御の重要な要素ですが、政府機関は迅速に行動し、実証済みのソリューションを実施する必要があります。translated
RSA連邦担当プレジデントのケビン・オール氏は次のように述べています:「RSAのFIDO2認証を受けたデバイスバウンドパスキーは、大統領命令および2024会計年度の締切を満たすために努力している連邦機関にとって重要な資産です。単にチェックボックスを満たすだけでなく、RSAは数十年にわたるセキュリティ重視の実績と、協力を強化できる統一されたスケーラブルでユーザフレンドリーなソリューションを提供します。」translated
Our mobile FIDO solution is a crucial step toward delivering a consistent and seamless passwordless experience from start to finish. RSA Authenticator app V4.4 for iOS and Android supports mobile FIDO as a technical preview. Mobile FIDO capability will be generally available with the RSA Authenticator app V4.5 for iOS and Android. This version will include additional enhancements and a streamlined user experience.translated
The RSA mobile FIDO solution is a powerful fit for Zero Trust environments, where secure, passwordless access is crucial. Device-bound passkeys align with Zero Trust principles by verifying each access attempt without relying on passwords, which are vulnerable to phishing and credential theft. With device-bound passkeys, the private key remains securely on the original device, ensuring that access is limited to verified devices only—ideal for protecting remote and hybrid workforces.translated
In addition to better security, the RSA mobile FIDO solution betters flexibility by enabling easy access across work environments, reducing interruptions while keeping sensitive data secure. As government mandates push for phishing-resistant authentication, the RSA mobile FIDO solution helps organizations not only secure today’s needs but also prepare for tomorrow’s standards.translated
RSAでは、パスワードレス技術の最前線に立っています。私たちの革新への執念は、デジタルセキュリティを再定義するソリューションの創出を推進します。私たちは、より安全でユーザーフレンドリーな世界を目指し、パスワードレス環境への移行を進めています。translated
We are excited to continue this journey with you and look forward to making our mobile FIDO solution generally available as part of V4.5. Together, we can set new standards for the industry and lead the charge toward a future where security is both secure and intuitive.translated
パスワードレスな未来に向けた取り組みを引き続きリードしていく中で、さらなる更新と洞察にご期待ください。translated
RSA launched the 4.5 Authenticator App in December, 2024. Learn more about the innovation bringing phishing-resistant, passwordless, FIDO2-certified authentication directly to users’ mobile devices. Or, if you’re an admin, learn how to enable the feature in RSA ID Plus.translated