FIDO認証:パスワード不要!ヒミツは渡さない!認証の仕組み
はい、こんにちは~。今回から「認証」の話をしたいと思います。
「認証」といっても、その技術はアマゾン川くらい幅広く、そしてマリアナ海溝くらい奥深いので、私の能力では技術的に正確で濃密な解説なんぞ、できません…。認証は、暗号理論と密接にかかわりがあり、これは「数学の鬼」でもないとそもそも理解不能です。
ですから、目指すところは、「専門家でなくても、何となく分かった気持ちになれる…」くらいのところを目指します!あくまで読者様と、「一緒に学びましょう!」というスタンスです。とはいえ、もちろん、分かる範囲で正確な情報を提供するように心がけます。ご承知おきください♪
パスワード不要!FIDO認証
さて、まず最初に認証技術としてご紹介するのは、FIDO(Fast IDentity Online)です。
聞いたことないですか…。ですよね。でも、これ技術はすばらしいのです。特徴は2つあります。
パスワードを使わない!
サービス側にヒミツを渡さない!
これはユーザにとって、とても嬉しいですね!このような優れた特徴があるので今回トップバッターとして、FIDOを紹介したいのです。
ちなみに読み方は、海外発信の解説動画を聞く限り、「ファイドゥ」ではなく「ファイド」と発音していることが多いので、「ファイド」でよいと思います。
認証における3つの「要素」とは?
FIDOについて深入りする前に、ちょっとだけ認証の基礎について触れさせてください。実は、FIDOを理解する上で大事なことなので。
認証は次の3つの要素を使って行います。
知識要素(something you know:パスワード、秘密の質問など)
所有要素(something you have:ICカード、スマホなど)
生体要素(something you are:指紋、虹彩など)
それぞれ、あなたが「知っていること」「持っているもの」「あなた自身」を使って認証を行うことができるわけです。これらを組み合わせて私たちはいろんなサービスの認証を受けているわけです。
パスワード:安い!簡単!そして不満だらけ
私たちにとってもっとも馴染みのある認証といえば、知識要素である「パスワード」ではないでしょうか?
実は、この「パスワード」、サービスを提供する側にとって導入しやすいものです。多くの場合、大きな投資がなくても短期間で、比較的簡単に導入できてしまいます。サービス側にとって、都合のよい仕組みなんですね。だから今でも主要な認証方法なわけです。
ひるがえって、皆さま、パスワードはお好きですか?例えば、こんな設定条件を求めれたりしませんか?
10字以上にして、記号を加えて、数字も加えて、大文字も加えて、推測されにくい文字列で設定してください。
2か月に一度更新してください。
そうそう、他のサービスとの使い回しはダメですよ。
人間は、こんな面倒くさいことに耐えられるように作られていません(多分)。結果として、ポストイットに貼り付け、入力しながら口ずさみ、住所や誕生日とかをパスワードに組み込み、、、そして「パスワードが分からない…」とリセット用のリンクボタンを押しているのではないでしょうかw?
心当たりありますよね?かように、パスワードは、ユーザへの負担が大きすぎるんです。
パスワードは攻撃されやすい
パスワードが抱える問題は、ユーザの負担だけではありません。各種の攻撃にさらされます。具体例は次の通りです。
ブルートフォース攻撃、辞書攻撃、パスワードリスト攻撃、パスワードスプレー攻撃、リプレイ攻撃、ソーシャルエンジニアリング…
個別の攻撃について解説しませんが、まあ、「パスワードを何とか突破してやろう」という攻撃の多いこと…。
ということで、パスワードはセキュリティ面でも不安が多いんですね。
はい、本日はここまで。今回は、FIDO認証の導入をしました。知識要素による認証(パスワード)って問題が多いんだな~ということもお話ししました。
これを踏まえて、FIDOではどんな要素を使って認証するか次回お話ししましょう!
では~。