普及が進むパスワードなし生体認証規格「FIDO」 18
ストーリー by hylom
知らなかった 部門より
知らなかった 部門より
あるAnonymous Coward曰く、
寡聞にして知らなかったが、パスワードなしで利用できる生体認証の標準規格「FIDO(Fast IDentity Online、ファイド)」というものがあるらしい。物理的なログインキーや生体認証などを使った認証のための標準規格で、現在さまざまな企業がアライアンスに参加しているという(Engadget Japanese)。
すでにNTTドコモやソフトバンク、Yahoo! JAPANがAndroid版のChromeブラウザでFIDOを使った生体認証によるログインがサポートされているほか、KDDIやLINEも今後サポートを行うという。
Google ChromeやFirefoxもFIDOをサポートしているほか、EdgeやOperaも対応を進めている一方でAppleはFIDOアライアンスに参加していないため動向が不明だが、Safariでサポートが実験的に行われているようだ。
ファイド (スコア:5, おもしろおかしい)
言うほど普及していない (スコア:3, 参考になる)
Yahoo!は「サービス事業者として世界で初めてFIDO2認定を導入」した程度で、逆に言うと一般向けのFIDO2認証がやっと始まったということ。
Googleアカウントの認証をパソコンでやるならまだChromeだけのハズ(注:Googleが対応しているのはFIDO U2FでまだFIDO2ではなかったハズ。Googleが売ってるTitan Security Keyも飛天のU2F製品だと思う)。Windows 10でのMicrosoftアカウントログインはFIDO2だけ。
※あとYahoo!のFIDO2ログインはAndroidスマホ+chromeだけで、その他の端末はパスワードになるので、リスト攻撃とかには意味なし芳一
FIDO2 U2Fのトークンは実質yubicoしかまだ出してなくて高い(9月時点で20以上の製品が認定を受けたと言っているが、市場に出ているとは言ってない)。この間のカンファレンスではITUにも認められた(x.1277:FIDO UAF/x.1278:FIDO2 CTAP[FIDO U2F CTAP1を含む])と言ってたけど動きが遅すぎで、有力なライバル出たら負けちゃうぞ。
Re:言うほど普及していない (スコア:1)
YahooはSMSとかの利用でパスワードlessに設定は可能だそうだけど...
自分は2FAできる時点でキツくしすぎてトラブルになる場合の対応などから残す設定にしてるな。
# ログイン専用IDは設定しているので、素だとID(不明;ただしパスワードが取れた時点で漏れると思う)+パスワード+2FA(不明)でかなり強めかなと...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
FIDO2 U2FじゃなくってFIDO U2Fの拡張規格がFIDO2じゃないの?FIDO2 U2Fなの?
FIDO Clientの中間層がなくなるだけじゃないの無と二の違いって
Re:言うほど普及していない (スコア:1)
FIDO2は認証プロトコル的というか、U2FとUAFを合せて発展的らしい、
すくなくとも後発規格であって拡張規格というわけではないかな。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
https://www.yubico.com/solutions/fido2/ [yubico.com]
には拡張言うとるで
Re:言うほど普及していない (スコア:1)
おっとそれは失礼
# うーん、自分の理解がまだ不足しているな
M-FalconSky (暑いか寒い)
Re: (スコア:0)
用語については俺もポカがある(FIDO2 U2Fと言う正式用語はない。yubicoが出し始めたのはCTAP2に対応した製品)と思うけど……こないだのFIDOアライアンスのカンファレンスでGoogleの人が説明した内容で言えば……
・(U2Fとしての)リムーバブル認証器とクライアントを繋ぐのがFIDO CTAP2
・クライアントには内蔵認証器(生体認証だからUAF)もある
・クライアントとサーバーを繋ぐのがW3CのWebAuthn
をひっくるめたのがFIDO2
FIDO2に後方互換性があるなら、ユニバーサルサーバーにする必要がないと思うんだけどなぁ(サーバーにもロゴプログラムがあります)。
もちろんSSHとかPGP署名とかでハードウェアトークンが必要な方々はいると思うけど、アレげな方々向けで一般向けではないですよね。
Yubikey3から使ってる (スコア:1)
SSHの認証キーもしまえるので便利っす
今は最新のNFC対応モデルを二つ持っていて1つは持ち歩いていてもう一つは閉まってあります
Githubへの接続にもGoogleの2段階認証がわりにも出来ます
まぁ、物理空間に鍵を持つパターンは電子用の物理キーってことですね
いい加減 identification を「認証」って訳すの止めるべき (スコア:1)
認証じゃなくて「識別」だろ。認証は authentication で別物だ。
生体「識別」はあくまでも他の「認証」方法を強化するのに使うもので、それ単体は大して強固じゃない。
FIDOでも重要なのは物理キーに格納された暗号キーであって、指紋はオマケ。
実際ほとんどのトークンは指紋センサ付いてない。
生体認証とは名ばかり (スコア:0)
実態はただのデバイスの有無による認証で、そのデバイスの所有者かどうかを生体認証してるだけっていう。
Re: (スコア:0)
え、違うよ
yubikeyなんかはそうだけどそれが指紋認証に切り替わっても
証明書を引っ張る所で登録されている指紋に紐づくり証明書が出されるので生体認証だよ
yubikeyなんかは所持認証と記憶認証なだけ
Re: (スコア:0)
生体認証するデバイス毎に生体情報と証明書紐づけが必要だし、生体情報読み取ってレジの決済で使うとかできないよ?
デバイス認証といっても間違いじゃないと思うけど。
Re:生体認証とは名ばかり (スコア:1)
生体情報のみじゃないのはたしかだし、サーバに生体情報は登録できないからわからんでもないが。
生体情報はID側(パスワードにはちょっとまずい)でもあるので、初回認証して鍵を保持し、その解除が可能な権限を認証することで、むしろセンシティブデータとしてサーバに渡さないのが昨今だと思う。
なんで、生体認証でどこからでも、系のご希望のことは今後も期待できないと思う。
そしてそれを指して生体認証じゃない、とも言わなくなってるんじゃないかな。
# ある種の決済サービスが広範囲で適時利用できるようにする可能性は否定できないが、それはサービスに生体情報渡す+認証の都度生体情報がネットワークを流れるので、自分はいやだな。
Re: (スコア:0)
認証の規格だって言ってるのに決済できないってなんのことだ
UAFは銀行、PayPalだけど
Re: (スコア:0)
元コメなんか間違ってるの?
SSHで言うとパスフレーズ入力の所が生体認証になってるだけだよね。
いやSSHの場合は実際にパスフレーズで暗号化してるのに対しFIDOだと秘密鍵自体は平文で保存されてるだろうから利用感覚の違いだけど。
おれはいやだ (スコア:0)
指を切られたり、目ん玉をくりぬかれたりするのはいやだ。
なるべく覚えやすいパスワードで良いよ。
123456とかね。
人に優しい認証方法を希望!
Re: (スコア:0)
あせもで手の皮がむけるので指紋認証が使えません
セキュリティゲートも静脈認証でないと出入りできなかった