CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

【分かりやすくを追求して】FIDOについてまとめてみた!

<【分かりやすくを追求して】FIDOについてまとめてみた!>

 

さて、今回はCISSP試験とは関係の無い内容ですが、FIDOについて超分かりやすく書いて行きたいと思います!(^^)/

ちなみに僕は普段、営業職なのですが、お客様とお話するにあたり最低限のセキュリティ知識は必須だと考えており、今回はその学習の一環で「最低限これくらいは理解していないとね!」的な観点で、更にこのブログのモットーである「分かりやすく」を追求して、紹介していきたいと思います。

(なので技術的にお詳しい方々には、物足りないかと思います。その点、悪しからず・・・)

 

ではまず、基本から行きます。

・FIDO(Fast Identity Online)とは?

→「パスワードは危険!だからパスワード使わないで認証できるようにしよう!」という発想で生まれた認証のやり方。なので、【パスワードを使わない認証=FIDO】と覚えればOKです。

・FIDOの仕組みは?

→簡単な図を作りましたので、記事下部を参考にしてください。

※可能な限り情報をそぎ落として超、簡略化しています!

・FIDOの大事なポイント

→ゼロ知識証明な仕組みな点。下部図で言うと、「ウェブサーバー」が「俺」を認証する際、秘密の値である「秘密の鍵」の情報を外に出したり、教えたりすることなく認証ができること。何が良いか?秘密の値が「ウェブサーバー」に保管されないから、ウェブサーバーがハッキングされても「俺」からすれば関係ない!

→(FIDO2が前提となるが)スマホ指紋認証とか顔認証で手軽に認証ができる。いちいちパスワードを入れたりしなくてOK!

・FIDOとFIDO2とは?

→少し乱暴ですが簡潔に言えば、【FIDO=認証のための専用端末が必要、FIDO2=専用端末が無くてもOK】という違いがあります。ここからも分かる通り、FIDO2の方が利便性が良いので、基本的にFIDO2について理解していれば問題ありません!

 

ちなみに、FIDOを語る際「パスワードを覚えなくて良く、管理の必要がない」的な記事をたまに見ることがありますが、ここは疑問が残ると僕は考えています。

何故なら、「パスワードレス認証(≒FIDO)を利用する=パスワード認証を利用しない」ではないと考えるからです。この点は議論があると思うので、また別の機会か場所でお話をできればな~と考えています( ^^) _U~~

さて、今回は以上となります!最後まで読んで頂いた方、ありがとうございました!