「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>認証基盤]] * 目次 [#gc1e87b4] #contents *概要 [#q3b95c68] -ここでは、基本的に、FIDO (Fast IDentity Online)について言及する。 -[[FIDO Alliance(生体認証などオンライン認証の標準化団体)>#p5437514]]により策定 **基本思想 [#t3f5f5c5] FIDOの基本思想は、 >「生体情報などの認証情報をサーバに保存したり送信したりせず、~ ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐ。」 というもの。 また、 -認証の部品化(プラグイン化) -・・・ など。 **仕組み [#dd0353d3] -公開鍵暗号方式をベースとしたチャレンジ・レスポンス認証。 -「既存の認証」に対して公開鍵を登録するという実装になる。 **採用、普及の状況 [#t4d683cd] -既にFIDOエコシステムを構築、市場に普及。 -以下のような企業が採用している。 --Google --Microsoft --PayPal --Dropbox --GitHub --Samsung Electronics --NTT docomo --Bank of America Corporation *特性 [#dd997ffb] **利点 [#ic4291e6] ***セキュリティ向上 [#ca8d0a71] -パスワードへの依存を減らし、認証の安全性が向上する。 -パスワードなどの認証情報がネットワークに流れない。 ***コスト削減 [#p81d869d] 標準規格のため、[[認証器>#lf855e22]]はサービスに共通的に使える。 ***プライバシー保護 [#i3361654] -サーバ側にパスワード情報や生体情報を持たない。 -「端末側での本人確認」と「サーバ側での認証」を分けている。 ***操作性 [#a411dc6a] -生体認証や端末のボタン操作など認証操作が簡単になる。 -これにより、パスワード入力・管理を不要にできる。 **課題 [#db84bd67] ***機能 [#sa6da9e4] -ユーザとデバイスの組の確実性しか保証されない。 -また、権限制御は別途実装する必要がある。 ***[[認証器>#lf855e22]]の信頼性 [#d2a1a2b7] -脆弱性の発覚などで信用性が低下した[[認証器>#lf855e22]]やデバイスの情報を「[[FIDO Alliance MetaData Service>#d6659b25]]」で提供。 -この情報を元に、どの[[認証器>#lf855e22]]・デバイスからの認証を受け入れるかは、サービス事業者の自己判断となる。 *変遷 [#lf181698] **[[FIDO 1.0>FIDO1#u6bedd26]] [#g7c1f7bd] **[[FIDO 1.1>FIDO1#haa1e071]] [#wd244737] **[[FIDO 2.0>FIDO2]] [#u3e20bc3] *[[認証器>FIDO認証器]] [#lf855e22] *用語 [#lb7c3077] **FIDO [#fc37e77e] ***FIDO Client [#yb40ab95] FIDO対応したクライアント・アプリケーション -FIDO対応したプラットフォーム上の、中継レイヤ。 -[[認証器>#lf855e22]]を持つデバイス上でFIDOのAPIを使用する。 -[[FIDO2]]では、OSやブラウザのAPIが定義され、無くなった。 ***FIDO Server [#c10d6bd7] FIDO対応したサーバ・アプリケーション **Relying Party(RP) [#eb969838] [[OAuth]]2と同じで、Relying Party(RP)という用語が使用されている。 ***RP Client [#tbbc2bdc] FIDO対応したアプリケーションのクライアント側 ***RP Server [#ra24f089] -FIDO対応したアプリケーションのサーバ側 -IdP/STSに実装して、[[クレームベース認証]]を使用してWebアプリケーションと認証連携してもイイ。 *参考 [#k6d4a46c] -煩雑なパスワード管理から解放してくれる「FIDO」とは? - THE ZERO/ONE~ https://the01.jp/p0003459/ -FIDO Dev (fido-dev) - Google グループ~ https://groups.google.com/a/fidoalliance.org/forum/#!forum/fido-dev **FIDO Alliance [#p5437514] 生体認証などを利用したより強力なオンライン認証技術の標準化を目指す~ 非営利の標準化団体(2012年7月に設立、2013年2月に正式発足) -FIDO Alliance - FIDO Alliance~ https://fidoalliance.org/ -FIDO Alliance - Wikipedia~ https://ja.wikipedia.org/wiki/FIDO_Alliance ***セミナー [#n406f2a8] -FIDO技術のさらなる広がり | FIDOアライアンス東京セミナー(2015年11月20日)~ https://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf -New FIDO Specifications Overview -FIDO Alliance -Tokyo Seminar -Nadalin~ https://www.slideshare.net/FIDOAlliance/new-fido-specifications-overview-fido-alliance-tokyo-seminar-nadalin ***FIDO Alliance MetaData Service [#d6659b25] 脆弱性の発覚などで信用性が低下したデバイスに関する情報。 -FIDO Alliance Metadata Service - FIDO Alliance~ https://fidoalliance.org/mds/ --The digitally signed metadata TOC document is published in Javascript Web Token (JWT) form at~ https://mds.fidoalliance.org/ >データは[[JWT]]形式で提供されている。 -以下を使用して[[JWT]]の中を確認できる。 --JSON Web Tokens - jwt.io~ https://jwt.io/ >ES256の[[JWT]]であるもよう。 **Yubico [#l96fad45] ***[[FIDO1]] [#f88eda92] -U2F~ https://developers.yubico.com/U2F/ -U2F - FIDO Universal 2nd Factor Authentication~ https://www.yubico.com/solutions/fido-u2f/ ***[[FIDO2]] [#n5475168] -FIDO2~ https://developers.yubico.com/FIDO2/ -FIDO2~ https://www.yubico.com/solutions/fido2/ -What is FIDO2?~ https://www.yubico.com/2018/05/what-is-fido2/ **Yahoo! [#hb501c3e] ***JAPAN > Tech Blog [#nd4bd0d6] -次世代認証プロトコルFIDOの動向~ https://techblog.yahoo.co.jp/security/fido-introduction/ -FIDO認証の進化とさらなる応用展開~ https://techblog.yahoo.co.jp/advent-calendar-2016/2016-fido/ --https://fidoalliance.org/wp-content/uploads/FIDOTokyo-gomi-120816-ja.pdf ***vデベロッパーネットワーク [#f0c6e6a7] -FIDO認証によるパスワードレスログイン実装入門~ https://www.slideshare.net/techblogyahoo/fido-124019677 **Microsoft [#y4d05ed6] -[[Windows Hello + Microsoft Passport]] --[[Windows Hello]] --[[Microsoft Passport]] ---- Tags: [[:IT国際標準]], [[:認証基盤]], [[:FIDO]]