こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。

今回はFIDO認証の種類であるFIDO U2F, FIDO 2の違いについて記載します。

FIDO（Fast Identity Online）認証は、オンラインアカウントへの安全なアクセスを提供するためのオープンスタンダードです。FIDO Allianceによって開発されたFIDO認証は、従来のパスワード認証方法に代わる、よりセキュアな認証方法です。FIDO U2F, FIDO 2は共にFIDO認証の種類となります。

FIDO認証の主なメリット

１．セキュリティの向上
FIDO認証は、従来のパスワード認証方法よりもセキュリティが高いとされています。生体情報などを使ったローカル認証と公開鍵暗号方式の署名検証を組み合わせた認証方式のため、認証情報が盗まれにくいです。

２．パスワードのリスク低減
FIDO認証は、パスワードをサーバー側で保存する必要がないため、パスワード漏洩のリスクを低減できます。これにより、ユーザーのアカウントのセキュリティが向上し、データ漏洩のリスクが低減されます。

※パスワード認証の追加要素としてFIDO認証を使う場合、パスワードはサーバー側で保存する必要がありますが、追加要素はサーバー側で保存する必要がありません。

３．標準化されたプロトコル
FIDO認証は、オープンスタンダードであるため、異なるデバイスやオンラインサービス間でも相互運用性が高く、標準化されたプロトコルによって、開発者は認証機能を容易に実装できます。

長くなりましたが、本題であるFIDO U2F, FIDO 2について説明します。

FIDO U2F （Universal 2nd Factor）

FIDO U2Fは、セキュリティキー等を使用して2段階認証を行うプロトコルです。これは通常のパスワード認証の追加要素として二要素認証を行う仕様となります。YubiKeyを利用する場合は、USBまたはNFCを介してデバイスに接続され、認証要求が送信されると、YubiKey内部に保存されている秘密鍵で暗号化したレスポンスを生成して送信します。

またこの場合、パスワードとYubiKeyをタッチすることで、多要素認証（知識情報＋所持情報）を実現しております。

認証時のユーザー/ブラウザー/認証サーバーの動きはそれぞれ下記の通りとなります。

FIDO2

FIDO2はFIDO U2Fを基にしたプロトコルとなり、パスワードレスでよりセキュリティレベルが高い認証方式となります。FIDO2は、セキュリティキーの他に、生体認証を使用した認証もサポートしています。

YubiKeyには指紋認証（生体認証）をサポートした機器があり、指紋認証の場合とそうでない場合で操作が異なります。

PIN利用する場合は、PINを入力しYubiKeyにタッチすることで、多要素認証（知識情報＋所持情報）を実現しておりますが、指紋認証の場合は、指紋を読み取る時点でYubiKeyへタッチする必要があるため、改めてタッチせずとも多要素認証（生体情報＋所持情報）を実現しております。

また、FIDO２ではYubiKey所持者しかわからない情報であるPINや指紋を認証要素としていることから、本人確認も含めた認証を実現しております。

●PINを利用する場合

●指紋認証を利用する場合

認証時のユーザー/ブラウザー/認証サーバーの動きはそれぞれ下記の通りとなります。

まとめ

まとめるとFIDO U2F/ FIDO 2はこのようになります。

　　

YubiKeyでは両方の認証方式に対応しておりますが、どちらの方式のFIDO認証を使うかは認証する側のシステム実装に依存します。

YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

　プロダクト･サービス事業グループ
　ネットワークセキュリティ事業本部
　セキュリティプロダクト第二部