FIDO2認証標準により、脆弱なパスワードを生体情報やセキュリティキーなどの便利な代替手段に置き換えて、Webサイト上で暗号学的に安全なログインができるようになります。また、国内からはヤフー株式会社(以下、ヤフー)がFIDO2認定を取得しました。これにより、ヤフーが提供するサービスにおいて数多くのユーザーが間もなく安全なパスワードレスログインを利用できるようになります。
カリフォルニア州マウンテンビュー、2018年9月26日 – FIDOアライアンスは、Web上でのパスワード利用を削減するため、FIDO2対応ブラウザおよび初のFIDO2認定製品を本日発表しました。これにより、今後どのWebサイトでも、W3CおよびFIDOアライアンスが策定したFIDO2の堅牢な認証プロトコルと、デバイスに搭載された生体情報やFIDO対応のセキュリティキーなどの便利な代替手段を使用して、パスワードを暗号学的に安全なログインに置き換えることができます。
https://fidoalliance.org/category/news-events/press-releases/
今年4月にWeb認証を発表して以来の大きな進展として、現時点で既にGoogle Chrome、Microsoft Edge、Mozilla Firefoxの各ブラウザがFIDO2をサポートしています。このブラウザ対応に加えて、さまざまなユースケースをサポートする新たなFIDO2認定製品により、サービスプロバイダーはWebサイトとアプリケーションにFIDO認証を導入するために必要なすべてのツールを備えたことになります。 FIDO認証により、パスワードに関連するフィッシングやセキュリティのリスクを防ぎ、パスワードを記憶して入力するより優れたユーザー体験を提供し、認証に要するサポートコストを削減できることが明らかになっています。
https://fidoalliance.org/case-study-series-google-security-keys-work/
FIDOアライアンスのエグゼクティブ・ディレクターであるブレット・マクドウェルは、「FIDO2によって、認証に関わるハイテク業界は、セキュリティとユーザー体験の向上を両立し、堅牢でフィッシング耐性があるWeb上での認証技術標準を初めて確立しました。本日発表した認定製品と主要なWebブラウザのFIDO2サポートによって、これらの新しい機能が市場に投入され、この両立が実現するのです。また、一般の消費者と企業向けのいずれにおいても、モバイル、デスクトップを問わずあらゆるWebアプリケーションにおいて、このイノベーションをインターネット規模で活用できるようになりました。これは、FIDOアライアンスが中心となって業界で設計し、運営される独立した認定プログラムであるため、ゆるぎない信頼性が確保されています。」と述べています。
セキュリティキーや生体認証器、クライアントおよびサーバーのFIDO2認定を取得した組織は次の通りです。
CROSSCERT: KECA(Korea Electronic Certification Authority); Dream Security Co., Ltd. Korea; ETRI; eWBM Co., Ltd.; IBM; Infineon Technologies; INITECH Co., Ltd.; Nok Nok Labs(ユニバーサルサーバー); OneSpan; Raonsecure; Samsung SDS; Singular Key; Whykeykey Inc.; Yahoo Japan Corporation; Yubico
また、本日の発表には初の認定FIDOユニバーサルサーバーが含まれています。これを利用することで、サービスプロバイダーはすべてのFIDO技術仕様(FIDO UAF、FIDO U2F、FIDO2)に基づいて認証器との間で互換性を担保できます。
FIDO2詳細
FIDO2は、W3CのWeb認証仕様とFIDOアライアンスが提供するデバイス間連携仕様(CTAP)で構成されています。これら技術標準の組み合わせにより、ユーザーは汎用的なデバイスを活用して、モバイルブラウザやデスクトップブラウザを通じて、オンラインサービスをより簡単に使うために認証することができます。 FIDO2は、パスワードレス、2段階認証、多要素認証など、さまざまな認証ユースケースと認証体験を最高レベルでサポートしています。パスワードのみのログインは、デバイスに組込まれた生体情報(顔、虹彩、指紋)を用いた簡単なジェスチャー、もしくは携帯型セキュリティキーに置き換えることができます。
W3CのWeb認証仕様
https://www.w3.org/TR/webauthn/
デバイス間連携仕様(CTAP)
https://fidoalliance.org/download/
これらのシンプルで便利なユーザー体験は、ユーザーは意識することなく堅牢な暗号学的セキュリティによって安全性が担保されており、フィッシング、奪取された資格情報(認証情報)を使用した中間者攻撃などから保護します。 FIDO2対応のWebブラウザとオンラインサービスは、以前に認定されたFIDO U2Fセキュリティキーと完全に後方互換性があります。
FIDO2に関するさらなる情報については、FIDOアライアンスのWebサイトを訪問してください。開発者と製品ベンダーにとって有益な認定プログラムに関する情報もあります。
https://fidoalliance.org/participate/developers/
ヤフーからのコメント:
FIDO2の認定を取得したことにより、Yahoo! JAPANでFIDO認証が利用できるようになります。これは、パスワードが抱える課題を解決し、今よりも安心・安全で簡単なログインを実現できるということです。
今後は、Yahoo! JAPANのユーザーにFIDO認証を利用いただくことで、日本の市場にパスワードレスの世界を浸透させていきます。
(ヤフー株式会社 IDサービス統括本部 IDソリューション本部長 菅原 進也)
FIDOアライアンスとは
「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online)アライアンス、www.fidoalliance.orgは、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。堅牢な認証に相互運用性が確保されていない状況を改善し、ユーザーが多くのIDとパスワードを覚えなければならないという煩わしさを解消することを目的としています。FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。
プレスリリース(日本語版)
https://prtimes.jp/a/?f=d37279-20180926-9360.pdf