CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

<パスワードレスとFIDO2>パスワードが無くなる未来はくるか?1/2

<パスワードレスとFIDO2>パスワードが無くなる未来はくるか?1/2

 

さて本日はパスワードが無くなる未来はくるか?という観点の第一部として、「FIDO2」に関連したお話をしていきたいと思います。IPACISSP試験の観点ではあまり時間を割いても・・・という感じなので、実務的な観点で参考になれば幸いです!

いきなりですが、 FIDO2 よく聞きますよね?笑

僕は仕事柄、非常に良く聞くワードになっており、セキュリティに携わる方は同じ感じではないでしょうか(^^♪

安全性の向上はもちろんですが、それと同じく利便性の向上も大変重要であるため、FIDO2は見過ごせない技術と言えるでしょう。ではまず、FIDO2とはな何か?分かりやすく解説していきます。

 

・FIDO2とは?

⇒FIDO2(Fast Identity Online 2)を一言で表すと、

「面倒なパスワードの代わりにセキュリティキーを利用することで、安全で簡単な認証を実現する技術」

的なイメージになります。ポイントは「パスワードの代わりに~」という点で、パスワードレスで認証ができるということは、長くて複雑なパスワードをサービス毎に覚えたり、入力したりする手間がないということ。つまり、サービス利用者からすると非常に利便性が高いものと言えます!

ではもう少し詳しく見て行きましょう。FIDO2をザックリ理解する上で必須な知識は以下の2つの仕組みに大別されます。

 

①WebAuthn(うぇぶおーせん): ブラウザとFIDOサーバーの間が担当範囲。

生体認証、セキュリティキーによりユーザー認証するのが仕事。

②CTAP2(しーたっぷつー): ブラウザと認証器の間が担当範囲。

ユーザーの認証情報を安全に管理し、不正アクセスや利用を防ぐのが仕事。

⇒とりあえず理解する!という点で言えば【①+②=FIDO2が成り立つ!】と考えればOKです。

※より詳しく①、②について知りたい方はWebで検索すると沢山でてきます。ちょっと詳しすぎて分かりにくいものが多いですが・・・(*^-^*)

 

ちなみに、今回のテーマに関連して「パスキー」という言葉も良く聞くと思います。

パスキー、WebAuthn、CTAP、FIDO2・・・と何が何だか分かりにくいので、ここで「パスキー」について、ザックリと理解してスッキリしましょう!

 

・パスキーについて覚えておくこと

⇒「パスキー=パスワードレスの技術そのもの、FIDOに対応しているパスワードレスを実現する技術」くらいの曖昧なニュアンスで話されているケースが多い

⇒実際には「パスキー=従来のパスワードに代わる認証情報そのもの」であり、「FIDO2で利用されるセキュリティキーの一種」、これは認証器により生成される

⇒これらが、①WebAuthnと②CTAP2いう別の技術に支えられて、WEBサイトへのログインで利用できるになっている

 

という位置づけで理解しておけばOKでしょう(^^)/

繰り返しになりますが、各技術については詳細な解説記事がた~くさんウェブにあるので、詳細編はそちらにお譲りしたいと思います。

(とはいえ、次回はパスキーについて少し書いてみようかなと・・・)

 

今回はここまで!最後までありがとうございました!

f:id:CyberSEALs:20240401091117j:image

(早く夏来ないかなー、その前に梅雨ですが☂️)