FIDO U2F

PayPal、Microsoft、Google、ドコモが対応を表明しているパスワードレス認証のオープン標準FIDO。

Chromeブラウザに限られるものの、昨年10月にはGoogleの2段階認証サービスが「U2F Security Key」に対応済みだ。

3400円のUSBキーでのお試し例などもあるのでU2F対応のセキュリティトークンを調べてみたところ、記事のYubicoのFIDO U2F SPECIAL SECURITY KEYよりも安い飛天ジャパンのePass FIDO U2F準拠 セキュリティキー2,480円でも大丈夫だった。

ちなみにFIDO 1.0仕様には２つのプロトコルがあり

UAFが鍵管理や認証の手順を担っているのに対し、U2Fでは「2要素認証（Two-Factor Authentication）」または「2段階認証（Two-Step Authentication）」の仕組みを提供する。UAFはPKIの公開鍵暗号でデバイスとサービスを対にすることで安全性を担保するが、U2Fは認証要素をさらに追加することで安全性を強化するというアプローチになる。

という事で、「U2F Security Key」は電話やSMSによる"ワンタイムパスワード"や"認証アプリの確認コード"(OATH OTP)に代わる位置付けとなる。

つまり、電話やスマホを見ながらキーボードやテンキーをポチポチして入力する代わりに「U2F Security Key」を差してボタンをポチッとする事になるわけで、良くも悪くも3400円のUSBキーでのお試し例で言うところの「現状の不満点をほんのちょっと変えられそう…」という印象に留まる。取り敢えず、銀行やサービス毎にセキュリティトークンを使い分ける必要が無くなるだけでも意外と助かると思うので、ぜひ全銀協などでも積極的に推進して頂きたい。

また、USBキー型のドングルを使う事からデスクトップPCやノートPCが前提となってしまうので、PC以外の装置では引き続き"ワンタイムパスワード"や"確認コード"の仕組みは無くならない。とは言うものの、Bluetooth Smart対応の仕様が追加されたので、キーボードを持たないTVやセットトップボックスなどにも対応が拡がり「劇的に便利になる」事を期待したい。

なお、Windows Helloやドコモの"生体認証"に対応するのは「UAF」という仕様で、「U2F」よりワンランク上の仕組み。指紋や虹彩などの個人データをセンターやサーバには持たなくて済むので、間違っても生体情報が漏洩して大騒ぎになる事もなければ、政府から個人情報開示の要請があっても対応できない為、MicrosoftやGoogleが安心して導入できるという事になる。

“生体情報"が手元に保存されるのは銀行ATMと同じだが、偽造が困難なICカードが保存先となるのに対して、「UAF」では入手が容易で改造もしやすいスマホやWindows等の汎用端末内部というのが大きな違いとなる。つまり、汎用環境におけるローカルインタフェースや、クライアント／サーバ間のプロトコルを標準化し、マルチベンダー環境での認証セキュリティ担保の目処が立ったというのが「UAF」の本質であり、Windows Hello(Passport)が実装したと言われている「FIDO 2.0」の仕様公開と普及が待たれる。

参照

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/

• ホワイトペーパー：「パスワードがない世界」へようこそ　PayPal、Appleが挑む認証変革 2014年8月22日
• Google、USB使った2段階認証サービスを提供 2014年10月22日
• Computer Weekly：GoogleのFIDO U2Fセキュリティキー対応で認証技術はどう変わる？ 2014年12月3日
• Computer Weekly：パスワード認証キラープロトコル、FIDO 1.0仕様公開 2015年1月21日
• MS、Windows 10にパスワード不要の認証技術「FIDO」を採用 2015年2月18日
• 半径300メートルのIT：Googleの二段階認証を3400円のUSBキーで試す 2015年5月19日
• ドコモが「FIDO Alliance」加入、生体でのオンライン認証を提供 2015年5月26日
• パスワードは時代遅れです：Windows 10時代の新認証　「Windows Hello／Microsoft Passport」と「FIDO」を理解する 2015年7月29日
• 「FIDO」認証推進のNOK NOK Labs、日本で事業開発へ 2015年8月27日

ケータイ Watch http://k-tai.impress.co.jp/

• Googleアカウントのセキュリティを最大限に高めるUSBキー「FIDO U2F SECURITY KEY」 2014年11月5日
• 虹彩/指紋でケータイ払い、ドコモが対応したグローバルな生体認証仕様 2015年5月26日
• Bluetooth Smartデバイスで二段階認証、FIDOの仕様に 2015年7月21日

INTERNET Watch http://internet.watch.impress.co.jp/

• “パスワード疲れ”からの解放を、DDSが「FIDO 1.0」準拠製品・サービスの開発を国内展開 2015年2月16日
• Microsoft、Windows 10でパスワード不要の認証技術「FIDO」をサポート 2015年2月18日

TechTargetジャパン http://techtarget.itmedia.co.jp/

• インターネットのパスワード認証廃止を目指すFIDO Alliance 2014年12月19日
• パスワード認証キラープロトコル、FIDO 1.0仕様公開 2015年1月28日
• 「パスワードのない世界」が急速に現実化、注目のFIDO Allianceが拡大へ 2015年6月29日
• Windows 10も搭載、“パスワードのない世界”を作る「FIDO」とは？ 2015年8月28日

ASCII.jp http://ascii.jp/

• Windows 10も対応へ、パスワードなし認証「FIDO」が日本上陸 2015年2月17日
• FIDO準拠の認証製品を提供するNok Nok Labsが日本上陸 2015年8月28日

ITpro http://itpro.nikkeibp.co.jp/

• ポストパスワードの有力候補、ユーザー認証の新仕様「FIDO」が始動 2015年2月18日

APPREVIEW http://app-review.jp/

• パスワードだけでは危険な現代のオンライン認証～FIDOアライアンスの考えるセキュリティとは？ 2014年10月28日
• パスワードの要らない世界～FIDOが標準化を目指すオンライン認証プロトコル『UAF』『U2F』 2014年10月30日

GIGAZINE http://gigazine.net/

• Googleアカウントの2段階認証で使用可能なUSBセキュリティキー「FIDO U2F Security Key」を使ってみました 2014年12月22日

NTTドコモ https://www.nttdocomo.co.jp/

• 「FIDO Alliance」に加入 2015年5月26日

FIDO Alliance https://fidoalliance.org/

• Specifications Overview

Wikipedia https://ja.wikipedia.org/wiki/

• Initiative For Open Authentication
• ワンタイムパスワード
• セキュリティトークン
• FIDO Alliance

Yubico https://www.yubico.com/

• FIDO U2F Security Key

飛天ジャパン http://www.ftsafe.co.jp/

• ePassFIDO

Amazon.co.jp https://www.amazon.co.jp/

• Yubico セキュリティキー FIDO U2F準拠
• ePass FIDO U2F準拠 セキュリティキー