パスワードいらずで、しかも安全!FIDOが認証の主流になる日は近い!

#FIDO

schedule 2018/02/15  refresh 2023/11/09

 

インターネットバンキングを利用するときや、アプリをダウンロードするときなどに、IDやパスワードを忘れて困ったことはありませんか?

 

個人を識別するために広く使われていた「パスワード認証」ですが、複数回間違えてロックがかかってしまったり、セキュリティ面で不安があったりするなど、多くのユーザーを悩ませていました。この大きな問題が、解決する日がやってきそうです。

 

「FIDO」と呼ばれる新しい認証技術は、パスワードの記憶も入力も不要で、認証情報が流出するリスクを抑えることもできます。

 

パスワードレスの認証技術「FIDO」とはどのような仕組みで、なぜ安全だと言えるのでしょうか。

 

 

FIDOとは

「FIDO」とは、「Fast IDentity Online」の略です。これまでオンライン認証の主流だった「パスワード認証」に代わる次世代の認証技術として注目され、業界団体「FIDO Alliance(ファイド アライアンス)」が標準化を進めています。

 

日本では、2016年12月にボードメンバーのNTTドコモ、三菱東京UFJ銀行、楽天などが「FIDO Japan WG」が発足し、日本での普及を目指しています。

 

FIDOが安全性を確保できる理由

FIDOは、認証に必要となる個人を識別する情報(指紋、静脈など)が、ネットワークを流れることがありません。そのため、盗聴される心配もなく、サーバーから漏洩することもないのです。

 

本人確認作業は、ユーザーの目の前にあるFIDO対応デバイスの中で完了します。よって、これまでオンライン認証の主流だったパスワード認証よりも、高いセキュリティが確保できると考えられているのです。

現在のところ、FIDOには、「UAF」と「U2F」の2種類があります。それぞれどのような仕組みで認証を実現しようとしているのでしょうか。

 

クライアント側で個人認証が完結する「UAF」

「UAF(Universal Authentication Framework)」は、個人認証がクライアント側で完結する仕組みです。

 

UAFを用いて認証する場合、ユーザーは保有する端末に、認証に必要となる生体情報などを登録することになります。そして、登録した端末を、ウェブサービスなどを提供するサーバーに登録します。個人認証はクライアント側で完結しているので、サーバー側は端末の認証だけ行います。

 

万が一、端末を紛失した場合であっても、第三者は端末にログインすることさえできないため、大切なデータを守ることが可能です。

 

2つの要素で認証する「U2F」

「U2F(Universal Second Factor)」は、2つの要素を使って、認証を完結させる方法です。

 

U2Fを用いて認証する場合、ユーザーが保有する端末内で、生体情報などを用いて本人確認を行います。

 

照合結果が正しいことを確認できた場合にのみ、サービスを提供するサーバーがKeyHandleを端末(クライアント側)に向けて送信します。

 

端末は、KeyHandleと紐付けられた秘密鍵を使って生成し、さらに暗号化したトークンをサーバーに向けて送信します。

 

サービスを提供するサーバーは、公開鍵を用いて正当性を確認し、認証作業が完了となります。

 

普及しつつあるFIDO

2016年3月に、NTTドコモのiPhoneとiPadにおいて、「FIDO UAF 1.0」に準拠したサービスがスタートしました。

 

このサービスは、Touch ID(指紋センサー)を利用したもので、Touch IDを搭載している端末(iOS 9.0以降)に「dアカウント設定アプリ」をインストールすることで使用可能です。

 

対応するウェブブラウザは「safari」に限定されますが、パスワードレスで、dカウントにログインができたり、ドコモオンラインでの手続きを進めることができたりするようになりました。

 

また、2017年12月には、FIDO Allianceが、2機種のAndroidスマートフォンに、「FIDO UAF(Universal Authentication Framework) 1.1」を搭載したことを発表しています。

 

これまで、AndroidスマートフォンをFIDOに対応させるためには、Android OSをカスタマイズする必要がありました。それが、「FIDO UAF(Universal Authentication Framework) 1.1」を搭載したことによって、FIDOが標準で使えるようになっています。

 

まとめ

夢のような認証技術「FIDO」は、日本でも、すでに普及しつつあります。

 

ユーザーにとっても、運用者にとっても、煩わしさのあった「パスワード認証」は過去のものになり、FIDOによる認証が主流になる日も近いでしょう。

 

(画像はphoto ACより)