Fast Identity Online(FIDO)認証とは?

セキュリティ

FIDO(Fast Identity Online)認証とは、パスワードに代わる、より安全で便利な認証方式を確立するための認証技術の総称です。ユーザーの認証情報をサーバーに保存しないため、パスワードリスト攻撃フィッシング詐欺などのリスクを大幅に低減できます。また、生体認証(指紋、顔、虹彩など)やハードウェアキーといった様々な認証方法に対応しており、ユーザーはより簡単かつ安全にログインできます。

 

FIDO認証の仕組み

 

FIDO認証は、公開鍵暗号技術に基づいています。従来のパスワード認証が「パスワードをサーバーに保存して照合する」のに対し、FIDO認証は秘密鍵公開鍵のペアを使います。

  1. 登録時(秘密鍵と公開鍵の生成)

    • ユーザーがFIDO対応サービスに登録すると、認証器(スマートフォンやUSBセキュリティキーなど)が、ユーザーのデバイス上で一意の秘密鍵公開鍵のペアを生成します。

    • 秘密鍵はデバイス内に厳重に保管され、決して外部に送られません。

    • 公開鍵はサーバーに送信・登録されます。

  2. ログイン時(認証)

    • ユーザーがログインを試みると、サーバーはチャレンジと呼ばれるランダムなデータをデバイスに送信します。

    • バイスは、そのチャレンジ秘密鍵で署名し、署名結果をサーバーに送り返します。

    • サーバーは、事前に登録された公開鍵を使って、その署名が正しいかどうかを検証します。

    • 署名が正しければ、ユーザーは認証が成功し、ログインが完了します。

この仕組みにより、サーバーはパスワード秘密鍵といった重要な情報を保持する必要がなくなります。これにより、サーバーがサイバー攻撃を受けても、ユーザーの認証情報が流出するリスクを根本から排除できます。

 

FIDO認証の種類

 

FIDOは複数の認証プロトコルで構成されており、主要なものには以下の2つがあります。

  • FIDO UAF(Universal Authentication Framework)

    • パスワードレス認証を実現するためのプロトコルです。

    • スマートフォンなどのデバイスに内蔵された生体認証機能を利用し、パスワード入力なしでログインできます。

  • FIDO U2F(Universal Second Factor)

    • 二段階認証(2FA)を実現するためのプロトコルです。

    • 既存のパスワード認証に加え、USBセキュリティキーなどの物理的なデバイスを認証の第二要素として使用します。これにより、パスワードが漏洩しても、デバイスがないとログインできないため、セキュリティが向上します。

現在では、これらを統合し、より柔軟な認証を可能にしたWebAuthn(ウェブ・オーセンティケーション)が主要な標準となっています。WebAuthnは、W3CWorld Wide Web Consortium)が推奨する技術で、GoogleAppleMicrosoftなどの大手企業が採用を進めています。

 

FIDO認証のメリット

 

  • 高いセキュリティ 🛡️:

    • 認証情報がデバイスに保存されるため、サーバーからの情報漏洩リスクがありません。

    • フィッシング詐欺に対して耐性があります。サーバーのドメインが偽装されても、FIDO認証はドメイン情報と認証鍵を紐づけるため、認証が失敗します。

  • 利便性の向上 ✨:

    • パスワードを覚える必要がなく、ユーザーは生体認証や簡単なPIN入力で素早くログインできます。

    • 複数のサイトで異なるパスワードを使い分ける手間がなくなります。

  • プライバシーの保護 🤫:

    • ユーザーの生体情報はデバイスから外部に送信されることはなく、プライバシーが保護されます。

FIDO認証は、従来のパスワード認証が抱える課題を解決する、次世代の認証技術です。今後、さらに多くのウェブサイトやサービスでの普及が期待されています。