こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。
今回は認証方式の整理として、FIDO認証とパスワード認証/パスワードレス認証/多要素認証の関連について整理してみました。
FIDO(Fast Identity Online)認証は、オンラインアカウントへの安全なアクセスを提供するためのオープンスタンダードです。FIDO Allianceによって開発されたFIDO認証は、従来のパスワード認証方法に代わる、よりセキュアな認証方法です。
FIDO認証の代表的な認証方式としてFIDO U2FとFIDO2があります。それぞれの違いについては、こちらの記事を参考にしてください。
※本記事ではFIDO U2FとFIDO2を分けて整理しております。
FIDO U2FとFIDO 2の違いとは | SCSK ITプロダクト&サービス (network-innovation.jp)
パスワード認証/パスワードレス認証とは、それぞれ下記の特徴があります。
■パスワード認証
●パスワード認証とは
・ユーザーが入力したパスワードを、システムが受け取って認証する方式
●メリット
・広く利用されているため、実装が簡単
・一般的に知られているため、ユーザー操作イメージがしやすい
●デメリット
・ユーザーは複雑な文字列を覚えなければいけない場合がある
・ユーザー/管理者の両者共にパスワード管理が大変
・セキュリティレベルは不十分
■パスワードレス認証
●パスワードレス認証とは
・パスワードを認証する先のシステムへ渡さずにユーザーを認証する方式
●メリット
・パスワードほど複雑な文字列は不要(PINを設定している場合には、PINを覚える必要があります)
・ユーザー/管理者の両者共にパスワードを管理する必要がない
・セキュリティレベルが高い
●デメリット
・様々な実装方式があり、設定値(例:FIDOのUP/UV)等を細かく設定する必要がある
・認証情報を紛失したらログインできなくなる場合がある
・動作環境によって、正しく動作しない場合がある
ここで注意いただきたいのは、パスワードとPINは異なるということです。
どちらもユーザーが入力するという点では同じですが、使われ方に明確な違いがあります。
パスワード認証/パスワードレス認証ともに、多くの実装方式があります。
現在主流な認証方式である、パスワード認証と組み合わせて使われる、代表的な認証方式を整理してみました。
FIDO U2Fはパスワード認証と組み合わせて使われる認証方式のため、パスワード認証と位置づけしました。
CAPTHAは、自分がロボットでないことを示すときに使われる、文字列や画像となります。
近年新たな認証方式として注目されている、パスワードレス認証の代表的な認証方式について整理してみました。
パスワードレス認証というワードは新しいですが、証明書認証や生体認証など既に普及している技術も含まれるため、イメージしやすいのではと思います。
次に、多要素認証の観点でも整理してみました。
多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することです。
そのため、例えばパスワードレス認証として生体認証のみが使われて場合は、1つの要素しか使われていないため、多要素認証とはいえません。
また、多要素認証とパスワード認証/パスワードレス認証を組み合わせた認証例についても記載しました。
多要素認証とパスワード認証/パスワードレス認証は異なる観点のため、どの要素を実装/利用しているか、整理することが重要です。
まとめると、FIDO U2Fはパスワード認証かつ多要素認証、FIDO2はパスワードレス認証かつ多要素認証、と整理することができました。ただFIDO2認証は年々増加しているため、FIDO2対応のシステムが一般化していくと、FIDO認証はパスワードレス認証かつ多要素認証といえる日は近いのかもしれません。
YubiKeyではFIDO U2F、FIDO2の他に、ワンタイムパスワード(OTP)や証明書(PIV)として使える機種があります。
FIDO2対応の○はFIDO U2F、FIDO2共に利用できることを示しております。
YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プロダクト・サービス事業グループ
ネットワークセキュリティ事業本部
セキュリティプロダクト第二部
