"BOKU"のITな日常

還暦越えの文系システムエンジニアの”BOKU”は新しいことが大好きです。

パスワードレスはいいな。FIDO2(ファイドツー)認証に期待してます

これだけ技術が進んでいるのに、いまだに認証の中心が「パスワード」だっていうのはイマイチだなあ・・と思ってます。

なんせ。

歳をとると記憶力がおちるのに、覚えなきゃいけないパスワードばかり増える。

使いまわしは危険なので、みんな個別にするようにしたら、もはや、メモを見ないとログインもできないサイト続出という体たらくです。

ということで。

今回はパスワードレスの話題です。

f:id:arakan_no_boku:20190201155405j:plain


 

Yahooが先陣をきってくれた感じ

 

この記事の主張良いですねえ。

www.itmedia.co.jp

ヤフーあたりが、パスワードレスへの移行に本腰をいれると大きいです。

KDDIとかLINEとか、続々FDIO2認証を取得しているらしいですしね。

主要なブラウザのFDIO2対応も進んでいるみたいです。

Chrome、MicrosoftEdge、Firefoxは既に「FIDO2」のサポートを済ませていて、AppleSafariもRelease 71でサポートということなので、4大ブラウザ対応済と言ってもいいでしょう。

 

CTAPとWebAuthn

 

FDIO2は、「CTAP(Client To Authenticator Protocol)」と「WebAuthn(Web Authentication=Web認証)」で構成されるみたいです。

 

CTAP

 

CTAPは、外部の認証器をBluetooth(BLE)やNFC、USBなどによりWebブラウザに接続して使用する際の仕様を決めてます。

具体的な製品だと、たとえば、こんなやつですかね。

ftsafe.co.jp

 

WebAuthn

 

WebAuthn(Web認証)は、Webサイトでの認証に生体認証やPINコードなどを利用できるようにする技術仕様です。

JavaScriptAPIみたいです。

Webブラウザで生体認証を行うわけなのですが、従来の技術だと、例えば生体認証用の秘密情報をサーバー側(事業者側になるんですかね)で共有しないといけなかったのですが、FDIO2ではそうではなく、生体認証情報は共有せずローカルに置いたままで、更公開鍵暗号技術を巧みに使って、セキュアな認証を実現している点が違います。

 

UAFとUF2

 

FIDO2の発表前に、FIDOとして、「UAF(Universal Authentication Factor)」と「U2F(Universal 2nd Factor)」の仕様が発表されてます。

 

UAF

生体認証機能を備え持つスマートフォンなどの利用を想定した仕様みたいです。

つまり。

モバイルアプリに適用可能な形態ですね。

iPhoneのTouchIDによる指紋認証によるアプリのロック解除とかをイメージするかと思うのですが、それらは事前に入力したパスワード情報を保存しておいて認証後に補完入力するような実装になっているので、UAFとは根本的に異なるそうです。

 

U2F

従来のパスワード+ワンタイムパスコードに代表される「記憶認証」+「所持認証」の組み合わせによる2要素認証プロトコルだそうです。

USB接続タイプのセキュリティキーなどを用いて、パスワード認証に追加するみたいな感じですかね。

 

実際の利用シーンでの混在とか

 

FIDO2は、既存のFIDOの仕様の「UAF」と「U2F」を飲み込んだ上位互換のように見えてしまうのですけど、違うようです。

UAFの認証器は「FIDO2」の認証器と互換性がなくて、「U2F」の認証器と「FIDO2」の認証器には後方互換性があったりするようですし。

UAFとFIDO2の両方を使えるAndroid端末があったり、UAF,U2F,FIDO2すべての認証器に対応する「ユニバーサルサーバー」なんてものがあったりするくらいなので、共存・住み分けをする感じなんですかね。

まあ、正直なところ、自分もまだまだ勉強中で、しっかりとした理解ができているわけではないのですが・・・。

 

仕組についての説明

 

有難いことに、ヤフーさんが非常に詳しい技術解説ブログを書いていただいてます。

ひとつは、2015年末の記事なんですが、FIDOの既存仕様「UAF]]「U2F」技術に関して非常に参考になる内容です。

techblog.yahoo.co.jp

 

もうひとつが、2018年末の記事で、FIDO2・・特にWebauthnに関する詳しい説明が書かれてます。

techblog.yahoo.co.jp

まだ、自分もしっかりと理解できてはいないのですけどね。

とりあえず、勉強させてもらおうと思ってます。

 

パスワードレスは絶対主流になる

 

個人的には。

パスワードレスが、後数年のうちに主流になってくるのは間違いないと思ってます。

もちろん、パスワード利用がすぐになくなるわけはないのですが、ノートPCとかでも生体認証(指紋とか)デバイス付きの機種とかが主流になるとかは絶対でしょう。

自分の希望としては。

パスワードレスのパスワードマネージャが、まず欲しいですかね。

ただ。

登録した端末で登録した本人が使わないと認証できないって仕組の時、たとえば、そのPCが壊れたりとか、段ボールとか触りすぎて指紋認証通りづらくなったりとかしたときに、結構慌てるだろうな・・とか。

それなりの心配ごとはありますけどね。

ではでは。