FIDO認証は、標準的な公開鍵暗号技術を使用して、フィッシングに強い認証を提供します。 オンライン・サービスに登録する際、ユーザーのクライアント・デバイスは、ウェブ・サービス・ドメインにバインドされた新しい暗号キー・ペアを作成する。 デバイスは秘密鍵を保持し、公開鍵をオンライン・サービスに登録する。 パスキーと呼ばれるこれらの暗号キー・ペアは、すべてのオンライン・サービスに固有のものである。 パスワードとは異なり、パスキーはフィッシングに耐性があり、常に強固で、秘密の共有がないように設計されている。
FIDOによる認証の仕組み
FIDOでは、サインインを完了させるために、ユーザーのデバイスはチャレンジに署名することで秘密鍵の所有を証明しなければならない。 これは、バイオメトリクス、ローカルPIN、またはFIDOセキュリティキーの迅速かつ容易な入力によって、ユーザーがデバイス上でローカルにサインインを確認した場合にのみ発生する。 サインインは、ユーザー・デバイスとオンライン・サービスからのチャレンジ・レスポンスによって完了する。
FIDOは、ユーザーのプライバシーを保護し、フィッシングを防止するために一から設計されている。 すべてのパスキーは一意であり、オンラインサービスのドメインにバインドされている。 プロトコルは、異なるオンライン・サービスが、サービス間でユーザーを共同追跡するために使用できる情報を提供しない。 バイオメトリック情報は、使用されたとしても、ユーザーのデバイスから離れることはない。
FIDOによる登録とサインイン
オンラインサービスでパスキーを登録する
- パスキーの作成を求められる
- ユーザーは、バイオメトリクス、ローカルPIN、またはFIDOセキュリティキーへのタッチなどのローカル認証方法を介してパスキーの作成を検証する。
- ユーザー・デバイスは、ローカル・デバイス、オンライン・サービス、ユーザー・アカウントに固有の新しい公開鍵/秘密鍵ペア(パスキー)を作成する。
- 公開鍵はオンライン・サービスに送られ、ユーザーのアカウントに関連付けられる。 ローカル認証方法に関するあらゆる情報(バイオメトリクス測定値やテンプレートなど)は、ローカル・デバイスを離れることはない。
次回以降のサインインにパスキーを使用する
- パスキーによるサインインを求められる
- ユーザは、生体認証、ローカルPIN、またはFIDOセキュリティキーへのタッチなどのローカル認証方法を介して、パスキーによるサインインを確認する。
- デバイスは、サービスから提供されたユーザーのアカウント識別子を使用して、正しいキーを選択し、サービスのチャレンジに署名する。
- クライアント・デバイスは署名されたチャレンジをサービスに送り返し、サービスはそれを保存されている公開鍵で検証し、ユーザーにサインインする。
