ユーザー認証仕様の概要

FIDO アライアンスは、よりシンプルで強力なユーザー認証のための 3 つの仕様セットを発表している:FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) and the Client to Authenticator Protocols (CTAP). CTAPは、その補完的なものである。 W3Cのウェブ認証(WebAuthn)仕様 これらは合わせてFIDO2と呼ばれている。

FIDO標準では、標準的な公開鍵暗号技術を使用して、 パスキーと呼ばれる暗号鍵ペアによるフィッシングに強い認証を提供します。 FIDOは、ユーザーのプライバシーを保護し、フィッシングを防止するために一から設計されている。 すべてのパスキーは一意であり、オンラインサービスのドメインにバインドされている。 プロトコルは、異なるオンライン・サービスが、サービス間でユーザーを共同追跡するために使用できる情報を提供しない。 バイオメトリック情報は、使用されたとしても、ユーザーのデバイスから離れることはない。

技術仕様は 仕様書ダウンロードページをご覧ください。

技術的要件を満たすことに加え、FIDOアライアンスは、各デバイスのセキュリティ保証を強化するために実装する必要のある、さらなるセキュリティ要件を策定した。 これらの要件は、「認定オーセンティケータ・レベル」ページの「オーセンティケータ認定プログラム」に記載されている。

FIDO2

FIDO2 は、W3C ウェブ認証仕様と FIDO アライアンスの対応するクライアント認証プロトコル(CTAP)で構成される。 FIDO2は、組み込み(またはバインドされた)認証機能(バイオメトリクスやPINなど)または外部(またはローミング)認証機能(FIDOセキュリティキー、モバイルデバイス、ウェアラブルなど)によるパスワードレス、セカンドファクター、マルチファクターのユーザーエクスペリエンスをサポートしています。

FIDO2

FIDO2内の仕様は以下の通り:

W3C WebAuthn

WebAuthn は、FIDO認証のサポートを可能にするためにブラウザやプラットフォームに組み込まれている標準的なウェブAPIを定義している。

CTAP2

CTAP2は、FIDO2対応のブラウザやオペレーティングシステム上で認証を行うための外部認証機能(FIDOセキュリティキー、モバイルデバイス)の使用を以下の方法で可能にします。 USB、NFC、またはBLE パスワードレス、二要素認証、多要素認証が可能になります。

CTAP1

FIDO U2F の新しい名称である CTAP1 は、既存の FIDO U2F デバイス(FIDO セキュリティ・キーなど)を、FIDO2 対応のブラウザや OS 上で認証に使用できるようにするものです。 USB、NFC、BLE を使用することができます。

フィドUAF

FIDO UAFはパスワードレスをサポートする。 FIDO UAFでは、ユーザーはFIDO UAFスタックをインストールしたデバイスを携帯する。 そして、指をスワイプする、カメラを見る、マイクに向かって話す、PINを入力するなどのローカル認証メカニズムを選択することで、デバイスをオンライン・サービスに登録することができる。 FIDO UAFプロトコルでは、どのメカニズムをユーザーに提示するかをサービスが選択できる。

FIDO UAF - パスワードレス体験

一度登録すれば、ユーザーは、サービスに対して認証が必要なときはいつでも、ローカル認証アクションを繰り返すだけでよい。 ユーザーは、そのデバイスからの認証時にパスワードを入力する必要がなくなる。 FIDO UAFは、指紋+PINのような複数の認証メカニズムを組み合わせた体験も可能にしている。

FIDO U2F

FIDO U2F はセカンドファクター体験をサポートする。 FIDO U2F により、オンラインサービスは、ユーザーログインに強力な第2要素を追加することで、既存のパスワードインフラのセキュリティを強化することができる。 ユーザーは以前と同じようにユーザー名とパスワードでログインする。 このサービスはまた、いつでもユーザーに第二要素デバイス(FIDOセキュリティキーなど)の提示を促すことができる。 強力な第2要素により、サービスはセキュリティを損なうことなくパスワード(例えば4桁の暗証番号)を簡素化することができる。

セカンドファクター体験 - FIDO U2F

登録と認証の際、ユーザーはUSBデバイスのボタンを押すか、NFCまたはBLEを介してタップするだけで、第2因子を提示する。 ユーザーは、ウェブブラウザに組み込まれたサポートを活用して、プロトコルをサポートするすべてのオンラインサービスでFIDO U2Fデバイスを使用することができます。

FIDO2のリリースに伴い、U2FはCTAP1にラベルを変更した。