マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

パスワード認証の問題

  • パスワードは、時代遅れになりつつある。
  • 攻撃を受けるリスクがあり、対策が必要だった。
    • 強度が高く、長くて複雑なパスワードを使用する。
    • パスワードを使い回さない。
    • 定期的にパスワードを変更する。

基本思想

FIDOの基本思想は、

「生体情報などの認証情報をサーバに保存したり送信したりせず、
ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐ。」

というもの。

また、

  • 認証の部品化(プラグイン化)
  • ・・・

など。

仕組み

  • 公開鍵暗号方式をベースとしたチャレンジ・レスポンス認証。
  • 「既存の認証」に対して公開鍵を登録するという実装になる。

採用、普及の状況

既にFIDOエコシステムを構築、市場に普及。

企業の採用状況

以下のような企業が採用している。

  • Google
  • Microsoft
  • PayPal?
  • Dropbox
  • GitHub
  • Samsung Electronics
  • NTT docomo
  • Bank of America Corporation

主要OSの採用状況

  • Windows 10では、

が採用されている。

  • Androidでは
    • 従来型のパスワード方式
    • 4桁数字の「PINコード」方式
    • 点をなぞる「パターンロック」方式

が採用されている。

  • iOSでは、
    • 4桁数字の「PINコード」方式
    • 「Touch ID」による指紋認証方式
    • iPhone Xの「Face ID」による顔認証方式

が採用されている。

特性

利点

セキュリティ向上

  • パスワードへの依存を減らし、認証の安全性が向上する。
  • パスワードなどの認証情報がネットワークに流れない。

コスト削減

標準規格のため、認証器はサービスに共通的に使える。

プライバシー保護

  • サーバ側にパスワード情報や生体情報を持たない。
  • 「端末側での本人確認」と「サーバ側での認証」を分けている。

操作性

  • 生体認証や端末のボタン操作など認証操作が簡単になる。
  • これにより、パスワード入力・管理を不要にできる。

課題

機能

  • ユーザとデバイスの組の確実性しか保証されない。
  • また、権限制御は別途実装する必要がある。

認証器の信頼性

変遷

FIDO 1.0

FIDO 1.1

FIDO 2.0

認証器

用語

FIDO

FIDO Client

FIDO対応したクライアント・アプリケーション

  • FIDO対応したプラットフォーム上の、中継レイヤ。
  • 認証器を持つデバイス上でFIDOのAPIを使用する。
  • FIDO2では、OSやブラウザのAPIが定義され、無くなった。

FIDO Server

FIDO対応したサーバ・アプリケーション

Relying Party(RP)

OAuth2と同じで、Relying Party(RP)という用語が使用されている。

RP Client

FIDO対応したアプリケーションのクライアント側

RP Server

  • FIDO対応したアプリケーションのサーバ側
  • IdP/STSに実装して、クレームベース認証を使用してWebアプリケーションと認証連携してもイイ。

参考

FIDO Alliance

生体認証などを利用したより強力なオンライン認証技術の標準化を目指す
非営利の標準化団体(2012年7月に設立、2013年2月に正式発足)

セミナー

MetaData Service

Yubico

FIDO1

FIDO2

Yahoo!

JAPAN > Tech Blog

vデベロッパーネットワーク

Microsoft


Tags: :IT国際標準, :認証基盤, :FIDO


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-03-14 (木) 18:43:45 (191d)