パスワード大量流出やリスト型攻撃によるセキュリティー事故が、後を絶たない。それもこれもすべて認証に「パスワード」を使っているからだ。そもそもパスワードを使わなければ流出は起こり得ない。そんな夢のような認証を目指しているのが、「FIDO(Fast IDentity Online)」である。

ネット上でパスワードをやり取りしない

 FIDOでは、ユーザーと利用サービスとの間に「認証器」が介在する。認証器はスマートフォンなどに搭載するもので、生体認証やUSBキーなどを使い、その端末を操作しているユーザーが正当な本人であることを認証する。

FIDOにおける認証の基本的な流れ
[画像のクリックで拡大表示]

 認証器と利用サービスとの間は、コードを使って正当性を検証する。FIDO認証の最初の利用時に暗号化のための鍵のペアを生成し、秘密鍵は認証器で、公開鍵はサービス側でそれぞれ保管する。

 認証の際は、サービス側から「チャンレンジコード」というランダムな文字列を送信。それを受け取った認証器は秘密鍵を使って署名を作成し、チャレンジコードに付加してサービス側に送り返す。サービス側が持つ公開鍵で署名を検証して問題なければ、その認証器は正当なものと判断する。

 認証器を挟む形でバケツリレーのように2つの認証をつなぐことで、結果的に両端のサービス側と端末ユーザー間で「正当な人の利用」を保証するのが、FIDOの考え方だ。

 FIDOの最大のポイントは、インターネットを使う認証器とサービス側の間で、パスワードや生体情報などを一切やり取りしないことだ。万が一、漏洩したら大ごとになる重要な情報は、認証器の暗号化領域に厳重に閉じ込めて外に出さない。認証器におけるユーザー認証に指紋や虹彩などの生体情報を使えば、パスワードを全く使わずにサービスを利用できる。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら