「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
基本思想 †
FIDOの基本思想は、
「生体情報などの認証情報をサーバに保存したり送信したりせず、
ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐ。」
というもの。
また、
など。
仕組み †
- 公開鍵暗号方式をベースとしたチャレンジ・レスポンス認証。
- 「既存の認証」に対して公開鍵を登録するという実装になる。
採用、普及の状況 †
- Google
- Microsoft
- PayPal?
- Dropbox
- GitHub
- Samsung Electronics
- NTT docomo
- Bank of America Corporation
特性 †
利点 †
セキュリティ向上 †
- パスワードへの依存を減らし、認証の安全性が向上する。
- パスワードなどの認証情報がネットワークに流れない。
コスト削減 †
標準規格のため、認証器はサービスに共通的に使える。
プライバシー保護 †
- サーバ側にパスワード情報や生体情報を持たない。
- 「端末側での本人確認」と「サーバ側での認証」を分けている。
操作性 †
- 生体認証や端末のボタン操作など認証操作が簡単になる。
- これにより、パスワード入力・管理を不要にできる。
課題 †
機能 †
- ユーザとデバイスの組の確実性しか保証されない。
- また、権限制御は別途実装する必要がある。
変遷 †
用語 †
FIDO †
FIDO Client †
FIDO対応したクライアント・アプリケーション
- FIDO対応したプラットフォーム上の、中継レイヤ。
- 認証器を持つデバイス上でFIDOのAPIを使用する。
- FIDO2では、OSやブラウザのAPIが定義され、無くなった。
FIDO Server †
FIDO対応したサーバ・アプリケーション
Relying Party(RP) †
OAuth2と同じで、Relying Party(RP)という用語が使用されている。
RP Client †
FIDO対応したアプリケーションのクライアント側
RP Server †
- FIDO対応したアプリケーションのサーバ側
- IdP/STSに実装して、クレームベース認証を使用してWebアプリケーションと認証連携してもイイ。
参考 †
Yahoo! †
JAPAN > Tech Blog †
vデベロッパーネットワーク †
FIDO Alliance †
生体認証などを利用したより強力なオンライン認証技術の標準化を目指す
非営利の標準化団体(2012年7月に設立、2013年2月に正式発足)
セミナー †
FIDO Alliance MetaData? Service †
脆弱性の発覚などで信用性が低下したデバイスに関する情報。
ES256のJWTであるもよう。
Microsoft †
Yubico †
Tags: :IT国際標準, :認証基盤, :FIDO