FIDO Allianceはパスワードをどうやって生体認証に置き換えるのか

パスワードを入力するのが好きな人はいないだろう。FIDO Alliance（Fast IDentity Online Alliance）は生体認証などを標準化するアライアンス。先週のHTML5 ConferenceでもYahoo Japanが国内初でFIDO2に対応した話を聞けたので、ちょっと紹介してみたい。

ヤフー株式会社 - プレスルーム - ヤフー、Androidスマートフォンのウェブブラウザー上でのログインが指紋認証などの生体認証に対応

History of FIDO Alliance - FIDO AllianceHistory of FIDO Alliance

In late 2009, Ramesh Kesanupalli, at the time CTO of Validity Sensors, visited Michael Barrett, then PayPal’s CISO, to discuss how PayPal.com could use biometrics for identification of online users instead of passwords. Barrett was intrigued by the concept but insisted that the solution be based on some kind of industry standard supporting multiple vendors.

なんと、ペイパル・マフィアの一味だというところから歴史が始まる。FIDOアライアンスのトップページの宗教がかった感じは、このあたりから来てる？？？

How FIDO Works - FIDO AllianceHow FIDO Works

The FIDO protocols use standard public key cryptography techniques to provide stronger authentication. During registration with an online service, the user’s client device creates a new key pair. It retains the private key and registers the public key with the online service. Authentication is done by the client device proving possession of the private key to the service by signing a challenge. The client’s private keys can be used only after they are unlocked locally on the device by the user. The local unlock is accomplished by a user–friendly and secure action such as swiping a finger, entering a PIN, speaking into a microphone, inserting a second–factor device or pressing a button.

public key cryptography（公開鍵暗号）を使い、デバイス側に秘密鍵、オンラインに公開鍵を保持する。そしてクライアント上で指紋やら音声でロック解除した後に秘密鍵が使われる。詳しくは図解で（雑

FIDO® Certified - FIDO AllianceFIDO® Certified

認証済みのソリューションの一覧も見ることができる。Yahoo Japan以外にKDDI、NECのロゴもあった。Certification Feesが5000ドルというのは、なかなか手を出しにくいが、パスワードの次の技術に期待せずにはいられない。