マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

基本思想

FIDOの基本思想は、

「生体情報などの認証情報をサーバに保存したり送信したりせず、
ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐ。」

というもの。

また、

  • 認証の部品化(プラグイン化)
  • ・・・

など。

仕組み

  • 公開鍵暗号方式をベースとしたチャレンジ・レスポンス認証。
  • 「既存の認証」に対して公開鍵を登録するという実装になる。

採用、普及の状況

  • 既にFIDOエコシステムを構築、市場に普及。
  • 以下のような企業が採用している。
  • Google
  • Microsoft
  • PayPal?
  • Dropbox
  • GitHub
  • Samsung Electronics
  • NTT docomo
  • Bank of America Corporation

特性

利点

セキュリティ向上

  • パスワードへの依存を減らし、認証の安全性が向上する。
  • パスワードなどの認証情報がネットワークに流れない。

コスト削減

標準規格のため、認証器はサービスに共通的に使える。

プライバシー保護

  • サーバ側にパスワード情報や生体情報を持たない。
  • 「端末側での本人確認」と「サーバ側での認証」を分けている。

操作性

  • 生体認証や端末のボタン操作など認証操作が簡単になる。
  • これにより、パスワード入力・管理を不要にできる。

課題

機能

  • ユーザとデバイスの組の確実性しか保証されない。
  • また、権限制御は別途実装する必要がある。

認証器の信頼性

  • 脆弱性の発覚などで信用性が低下した認証器やデバイスの情報を「FIDO Alliance MetaData Service」で提供。
  • この情報を元に、どの認証器・デバイスからの認証を受け入れるかは、サービス事業者の自己判断となる。

変遷

FIDO 1.0

FIDO 1.1

FIDO 2.0

認証器

用語

FIDO

FIDO Client

  • FIDO対応したNativeアプリケーション
  • 認証器を持つデバイス上でFIDOのAPIを使用する。

FIDO Server

FIDO対応したサーバ・アプリケーション

Relying Party(RP)

OAuth2と同じで、Relying Party(RP)という用語が使用されている。

RP Client

Nativeアプリケーションで、FIDO Clientと連携する。

RP Server

Webアプリケーションで、FIDO Serverと連携する。

参考

Yahoo! JAPAN > Tech Blog

FIDO Alliance

生体認証などを利用したより強力なオンライン認証技術の標準化を目指す
非営利の標準化団体(2012年7月に設立、2013年2月に正式発足)

セミナー

FIDO Alliance MetaData? Service

脆弱性の発覚などで信用性が低下したデバイスに関する情報。

  • The digitally signed metadata TOC document is published in Javascript Web Token (JWT) form at
    https://mds.fidoalliance.org/

    データはJWT形式で提供されている。

  • 以下を使用してJWTの中を確認できる。

ES256のJWTであるもよう。

Microsoft

Yubico

FIDO1

FIDO2


Tags: :認証基盤, :FIDO


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-07-04 (水) 15:27:59 (11d)