kagi

パスワードだけでは危険な現代のオンライン認証~FIDOアライアンスの考えるセキュリティとは?

  • このエントリーをはてなブックマークに追加

by [2014年10月28日]


先日、東京電機大学にて、新たな認証方法の開発に取り組む団体「FIDOアライアンス」によるセミナー『FIDO:Fast IDentity Online』が開催されました。FIDOアライアンスの代表をはじめとするボードメンバーによる組織の紹介、およびオンラインセキュリティの対策について講演がありました。

近年は、ネットからの情報漏洩事件を耳にすることも増えており、より安心・安全なネットワークセキュリティが求められています。そこで「パスワードの要らない世界」の実現に向けて行われているFIDOアライアンスの取り組みが、大手IT企業をはじめとする消費者サービスに注目されています。

▼関連記事
パスワードの要らない世界~FIDOが標準化を目指すオンライン認証プロトコル『UAF』『U2F』

FIDOアライアンスのはじまり

FIDOアライアンスの代表
マイケル・バレット氏

FIDOアライアンスは、2012年に法人として立ち上がる前は、代表であるマイケル・バレット氏がまだPayPalの最高情報責任者を務めていた頃にはじまったとされます。PayPalは2007年に、ワンタイム・パスワード・トークンの「PayPal セキュリティキー」を公開。しかし、セキュリティの強度が高まったもののエンドユーザーには使いにくいとされ、セキュリティ意識が高いユーザー以外には大きく普及することはありませんでした。そこで、「使いやすさ」と「安全性」を両立するソリューションについて考えられました。

2009年に、Validity Sensors社の元最高技術責任者であるラメシ・ケセヌパリ氏が「指紋に対応するPaypal.com」のコンセプトをバレット氏に持ちかけました。
バレット氏は「指紋認証で単にPayPalのサイトが簡単に使える以外に、他(のサイト)でも使えないの?」という彼の奥さんから疑問が出たときに気づいたのです。「確かに指紋認証は面白い。だが、端末のセンサーはスタンダードじゃない。あらゆる端末センサーで、使えるようにすればよい」と。そこで、Validityのハードウェアだけを有効にしたものではなく、標準をベースにしたどのセンサーにも対応したソリューションについて検討され、後にSSLの発明者であるタヘル・エレガマル氏もこの輪に加わりました。そこで明確になったことは、認証問題を解決し、標準化する方法を築くべきということ。そして、もう1つはパスワードの手法が古い、ということ。FIDOアライアンスは、ユーザーが個人で所持するデバイスを使って、認証の支援、同時に犯罪者の標的にならない「新たな方法」の検討に乗り出しました。

パスワード方式は脆弱

FIDOアライアンスは、市場にある最高の認証技術を活用して、どのデバイスからでもオンラインサービスに接続を可能にするため、パスワードに頼らなくても済む仕組みを開発しています。

パスワードには、以下のような脆弱性があります。

  1. 使いまわし:ユーザーが同じパスワードを複数のサービスで利用する。どんなに強度が高いパスワードを設定しても、ひと度パスワードが判明してしまえば全てのサービスが脅威にさらされる。
  2. フィッシング:攻撃者が、正常なウェブサイトを装ってユーザーが入力したパスワードを盗み出すこと。
  3. キーロガー:ユーザーのパソコンがマルウェアに感染することにより、キーボードからの入力が監視されパスワードが盗まれる。

これらの脆弱性によって、パスワードがオンライン認証には有効な選択肢でないことが分かります。業界は、顧客のパスワードが流出する問題を解決するために、認証段階に2つ目の要素を加えています。しかし、現在のパスワードの代わりとなるものは、SMSや独立したデバイスに提供されるワンタイムコードを利用するため、デバイスを紛失したり手元にない場合等の利便性に課題が残ります。

それではどうすれば良いのでしょうか? 最近のトレンドは、スマートフォン、タブレット、ノートパソコンなどの端末が普及しているために、端末をローカルでロックするユーザーが増えているといいます。しかもパスワードだけで鍵をかけるのではなく、ピンナンバーやパターンロック認証、生体認証も使っています。これは、簡単で、シンプルで、かつ最も強力な認証と言えるそうです。
そこで、オンライン認証がローカルデバイスによる認証でできないかについて検討され、『UAF』『U2F』と呼ばれる2つの認証方式が新たに考案されたのです。

「“パスワードの要らない世界”を実現するオンライン認証の新標準「FIDO」の仕組み」に続く

FIDO Alliance
株式会社ディー・ディー・エス

コメントは受け付けていません。

PageTopへ