「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
パスワード認証の問題 †
- 攻撃を受けるリスクがあり、対策が必要だった。
- 強度が高く、長くて複雑なパスワードを使用する。
- パスワードを使い回さない。
- 定期的にパスワードを変更する。
基本思想 †
FIDOの基本思想は、
「生体情報などの認証情報をサーバに保存したり送信したりせず、
ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐ。」
というもの。
また、
など。
仕組み †
- 公開鍵暗号方式をベースとしたチャレンジ・レスポンス認証。
- 「既存の認証」に対して公開鍵を登録するという実装になる。
採用、普及の状況 †
既にFIDOエコシステムを構築、市場に普及。
企業の採用状況 †
以下のような企業が採用している。
- Google
- Microsoft
- PayPal?
- Dropbox
- GitHub
- Samsung Electronics
- NTT docomo
- Bank of America Corporation
主要OSの採用状況 †
が採用されている。
- Androidでは
- 従来型のパスワード方式
- 4桁数字の「PINコード」方式
- 点をなぞる「パターンロック」方式
が採用されている。
- iOSでは、
- 4桁数字の「PINコード」方式
- 「Touch ID」による指紋認証方式
- iPhone Xの「Face ID」による顔認証方式
が採用されている。
特性 †
利点 †
セキュリティ向上 †
- パスワードへの依存を減らし、認証の安全性が向上する。
- パスワードなどの認証情報がネットワークに流れない。
コスト削減 †
標準規格のため、認証器はサービスに共通的に使える。
プライバシー保護 †
- サーバ側にパスワード情報や生体情報を持たない。
- 「端末側での本人確認」と「サーバ側での認証」を分けている。
操作性 †
- 生体認証や端末のボタン操作など認証操作が簡単になる。
- これにより、パスワード入力・管理を不要にできる。
課題 †
機能 †
- ユーザとデバイスの組の確実性しか保証されない。
- また、権限制御は別途実装する必要がある。
変遷 †
用語 †
FIDO †
FIDO Client †
FIDO対応したクライアント・アプリケーション
- FIDO対応したプラットフォーム上の、中継レイヤ。
- 認証器を持つデバイス上でFIDOのAPIを使用する。
- FIDO2では、OSやブラウザのAPIが定義され、無くなった。
FIDO Server †
FIDO対応したサーバ・アプリケーション
Relying Party(RP) †
OAuth2と同じで、Relying Party(RP)という用語が使用されている。
RP Client †
FIDO対応したアプリケーションのクライアント側
RP Server †
- FIDO対応したアプリケーションのサーバ側
- IdP/STSに実装して、クレームベース認証を使用してWebアプリケーションと認証連携してもイイ。
参考 †
FIDO Alliance †
生体認証などを利用したより強力なオンライン認証技術の標準化を目指す
非営利の標準化団体(2012年7月に設立、2013年2月に正式発足)
セミナー †
Yubico †
Yahoo! †
JAPAN > Tech Blog †
vデベロッパーネットワーク †
Microsoft †
Tags: :IT国際標準, :認証基盤, :FIDO