サービスプロバイダーがFIDO認証を導入する際には、FIDO認証器の紛失、破損、盗難に対処するために、安全なアカウント復旧プロセスが必要となります。以前のFIDOアライアンスのホワイトペーパーである「Recommended Account Recovery Practices for FIDO Relying Parties」は、2つの戦略を推奨しています。
- アカウント復旧の必要性を減らすために、ユーザーに複数の認証器を登録することを求める。
1 が実行可能でない場合。
- アカウントを復旧するために、最初の本人確認またはユーザーのオンボーディング・プロセス(初期設定)を再実行する。
戦略の一つである複数の認証器を設定しておくということは、アカウント復旧の選択肢が限られているFIDOに対応した消費者向けアカウントにとって非常に重要な役割を果たします。これには、FIDOの認証資格情報が登録された後にパスワードが無効化されているシナリオと、パスワードとFIDOの認証資格情報が2段階認証のために登録されているシナリオの両方が含まれます。
ホワイトペーパーでは、この戦略に焦点を当て、複数の認証器を利用してFIDO認証を展開する方法についての指針を示しています。また、既に登録済みの認証器に紐づけられた新しい認証器を登録する方法、セキュリティ上の考慮事項、カバレッジ/認証器のオプション、有用性、ポリシーについて、FIDO対応したブラウザやプラットフォームに基づいて議論しています。さらに、登録方法の推奨事項と、ソリューションを導入するためのポリシーの例を提供しています。
MORE FIDOリソース
