FIDO エコシステム
■「パスワード認証方式」の限界
・情報漏洩の原因は、クレデンシャル(認証情報)の紛失や盗難。
・パスワードの課題は、サーバーや通信経路からの漏洩の可能性や、フィッシングによる盗難、モバイルデバイスからの入力の不便さなどがあり、最大の面倒は、パスワードが多すぎて覚えられないこと。(その結果として、パスワードの使いまわしや、サービスの離脱や停止につながる。)
■FIDO(FastIDentityOnline)認証のコンセプト
・「SSL」のようなセキュリティの業界標準を目指し、パスワード認証に代わる認証のスタンダードを策定。・特定のメーカーに限定しない、スタンダードをベースに標準仕様化を実施。(FIDOアライアンスは、「FIDOサーバー」、「FIDOクライアント」、「オーセンティケータ」の相互通信テストを行い、製品認定を行う。このことにより、各ベンダーは、FIDO仕様書に合わせた実装を行うことができることにつながる。)
・「モバイル端末のローカル認証」と「デバイスのサーバー認証」とを分離し、サーバー認証にパスワードのような共通鍵(クレデンシャルの共有)方式を利用しない。認証は、公開鍵暗号化方式で行われる。
・認証情報は、端末内のセキュアなストア領域(保存領域)に格納でき、生体認証情報がサーバーに保存されない。
■FIDOスペック
・FIDOアライアンスは(当初)2つの仕様化が行われた。その一つが、パスワードを利用しない「UAF(ユニバーサル・オーセンティケーション・フレームワーク)方式」で、もう一方が、パスワード認証とあわせて、セキュリティデバイスをタッチする「U2F(ユニバーサル・セカンド・ファクター)方式」である。その後、FIDOアライアンスからWebブラウザの標準化を行っているW3Cに対して、WebAPIの仕様を提供を行い、Web認証の標準化(FIDO2)が完成。
■YubiKeyと「FIDO2」で実現するパスワードレス認証
-
「ユーザビリティ(使いやすさ)」の改良
-
公開暗号化ベースの「強固なセキュリティ」
-
1つのキーで、いくつものサービスアカウントに利用可能
FIDO2の認証仕様は、W3Cの「WebAuthn API」と「CTAP(Client to Authentication Protocol)」の内容を含んだ認証のオープンスタンダードです。Yubico社のSecurity Keyを利用したFIDO2では、シングルファクター(パスワードレス)、セカンドファクター(U2Fと同じ、二段階認証)、マルチファクター(シングルファクターにPINなどの二要素目を加えた方式)の3つの解決方法がある。セキュアハードウェアベースによる認証によって、認証情報(クレデンシャル)の盗難や乗っ取りを防止できるため、フィッシングや中間者攻撃、サーバーアタックなどの対策に効果的である。
(参考)
・Windows Blog : Windows Hello and FIDO2 Security Keys enable secure and easy authentication for shared devices
・FIDOアライアンス : FIDO2プロジェクトページ