FIDO エコシステム

■「パスワード認証方式」の限界

・情報漏洩の原因は、クレデンシャル(認証情報)の紛失や盗難。
・パスワードの課題は、サーバーや通信経路からの漏洩の可能性や、フィッシングによる盗難、モバイルデバイスからの入力の不便さなどがあり、最大の面倒は、パスワードが多すぎて覚えられないこと。(その結果として、パスワードの使いまわしや、サービスの離脱や停止につながる。)


■FIDO(FastIDentityOnline)認証のコンセプト

・「SSL」のようなセキュリティの業界標準を目指し、パスワード認証に代わる認証のスタンダードを策定。
・特定のメーカーに限定しない、スタンダードをベースに標準仕様化を実施。(FIDOアライアンスは、「FIDOサーバー」、「FIDOクライアント」、「オーセンティケータ」の相互通信テストを行い、製品認定を行う。このことにより、各ベンダーは、FIDO仕様書に合わせた実装を行うことができることにつながる。)
・「モバイル端末のローカル認証」と「デバイスのサーバー認証」とを分離し、サーバー認証にパスワードのような共通鍵(クレデンシャルの共有)方式を利用しない。認証は、公開鍵暗号化方式で行われる。
・認証情報は、端末内のセキュアなストア領域(保存領域)に格納でき、生体認証情報がサーバーに保存されない。


■FIDOスペック

・FIDOアライアンスは(当初)2つの仕様化が行われた。その一つが、パスワードを利用しない「UAF(ユニバーサル・オーセンティケーション・フレームワーク)方式」で、もう一方が、パスワード認証とあわせて、セキュリティデバイスをタッチする「U2F(ユニバーサル・セカンド・ファクター)方式」である。その後、FIDOアライアンスからWebブラウザの標準化を行っているW3Cに対して、WebAPIの仕様を提供を行い、Web認証の標準化(FIDO2)が完成。

 


■YubiKeyと「FIDO2」で実現するパスワードレス認証

  • 「ユーザビリティ(使いやすさ)」の改良
  • 公開暗号化ベースの「強固なセキュリティ」
  • 1つのキーで、いくつものサービスアカウントに利用可能

FIDO2の認証仕様は、W3Cの「WebAuthn API」と「CTAP(Client to Authentication Protocol)」の内容を含んだ認証のオープンスタンダードです。Yubico社のSecurity Keyを利用したFIDO2では、シングルファクター(パスワードレス)、セカンドファクター(U2Fと同じ、二段階認証)、マルチファクター(シングルファクターにPINなどの二要素目を加えた方式)の3つの解決方法がある。セキュアハードウェアベースによる認証によって、認証情報(クレデンシャル)の盗難や乗っ取りを防止できるため、フィッシングや中間者攻撃、サーバーアタックなどの対策に効果的である。

 

(参考)

・Windows Blog : Windows Hello and FIDO2 Security Keys enable secure and easy authentication for shared devices
・FIDOアライアンス : FIDO2プロジェクトページ
・RSAカンファレンス2018セッション資料 : Replacing Passwords with FIDO2 Authentication

ページTOP