FIDO

FIDO とは †

名称 †

• Fast Identity Online

概要 †

• 呼称は「ファイド」
• パスワードレスな認証方式
• FIDO Alliance が規格を策定している

• 多要素認証
• 認証器を使ってWebブラウザからWebサイトに認証する規格およびその実装（パスワードレス）
• オープンな認証方式
• 部品化した認証器を⽤いたローカル認証

特徴 †

認証の分離・分散 †

• デバイスでユーザを検証する。
  • デバイス上の認証器を使う。
  • ユーザIDとパスワードの入力が不要。
• デバイス上で行ったユーザの検証結果だけがサーバに送られる。
• サーバ側はユーザの識別のみを行い、ユーザの検証は行わない。
  • サーバ側で保存した公開鍵に対応する秘密鍵を保持しているデバイス
  • 認証するデバイスががサーバ側で保存する公開鍵に対応した秘密鍵を保持していることを証明する

認証方式（ユースケース） †

UAF †

• Universal Authentication Framework
• FIDOに対応した端末を使うことでパスワードレスな認証を行う。
• 主にスマホのネイティブアプリでの利用を想定している。
  • FIDOクライアントは、スマホのネイティブアプリ。
  • スマホの生体認証などの認証手段を使う。

U2F †

• Universal Second Factor
• 2要素認証（多要素認証）による認証を行う。
• パスワード補完型（記憶認証+所持認証）
  • 1回目でパスワード認証を行った後に、SMS認証やセキュリティキーを使った認証を行う
• Webブラウザから利用できる。
  • 複数のWebブラウザが既に実装済（Chrome, Firefox, Edge）

FIDO 2.0 †

• 2016年9月時点、次期仕様として策定中。
• 一人複数のデバイスを持ったプラットフォーム環境を想定。
• 主要なプラットフォームはWebブラウザとOSを想定。
• Webブラウザからデバイス上の認証器を使う（JavaScriptによる）ことを想定。
• スマートフォンの認証アプリを認証に使う。

• 構成技術
  • WebAuthn
  • CTAP

• 実装
  • Windows Hello - Microsoft
  • TouchID - Apple
  • 各Webブラウザ

処理手順 †

処理手順(UAF) †

初期登録 †

• サーバからの要求に対して、生体認証などによってデバイスのロックを解除する
• デバイス側でキーペアを生成する(秘密鍵は利用者のデバイス上の安全な場所に格納する)
• サーバに公開鍵を送付し、サーバ上で公開鍵を保存する

認証方法 †

• サーバで生成したチャレンジを利用者のデバイスに送信する
• 初期登録時と同じ方法でデバイスのロックを解除する
• サーバから受信したチャレンジに対してデジタル署名を行いサーバに送信する
• サーバはデバイスから受信した署名付きチャレンジを公開鍵で検証して認証の可否を判断する

passkey †

• FIDO の規定した認証情報(Credential)
• デバイス、ウェブサイト、アプリケーションをまたいで、シンプル且つパスワードを使わないことで安全にユーザ認証できるようにする仕様
• 2022年5月5日のパスワードの日にApple、Google、Microsoftの3社が、パスワードレスに向けたFIDO の標準仕様をサポートすることを発表した

FIDOの認定 †

• FIDOの認証テストに合格すると、FODOの認定証を商品に載せることができる。
• FIDOの認証テストでは、認証器・クライアント・サーバの三者の連携が上手にできるかどうかをテストする。

関連サイト †

• ヤフー、新たなウェブ認証の規格「FIDO2」のFIDO Certified（認定）を国内企業で唯一取得 パスワードを使わない安全なログイン環境の実現に前進（2018.9.27）
  • https://about.yahoo.co.jp/pr/release/2018/09/27a/

• 「安全・安心・便利」FIDO（ファイド）を使った パスワードレスログインとは (2019.2.20)
  • https://about.yahoo.co.jp/blog/service/2019/02/20/fido.html

• passkey 関連
  • Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins (2022.5.5) - FIDO
    https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/
  • One step closer to a passwordless future (2022.5.5) - Google
    https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/
  • Expansion of FIDO standard and new updates for Microsoft passwordless solutions (2022.5.5) - Microsoft
    https://techcommunity.microsoft.com/t5/azure-active-directory-identity/expansion-of-fido-standard-and-new-updates-for-microsoft/ba-p/3290633?WT.mc_id=modinfra-00000-rotrent
  • Apple, Google, and Microsoft commit to expanded support for FIDO standard to accelerate availability of passwordless sign‑ins (2022.5.5) - Apple
    https://www.apple.com/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/
  • passkeys.dev - W3C and FIDO Alliance
    https://passkeys.dev/

関連用語 †

• アテステーション（Attestation）
• チャレンジレスポンス
• 認証
• PIN
• Red Hat SSO -Red Hat社が提供する商用サポートのKeycloak
• Titan -Google
• TPM