FIDO認証はパスワード認証？　パスワードレス認証？　多要素認証？

2023年8月18日

こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。

今回は認証方式の整理として、FIDO認証とパスワード認証/パスワードレス認証/多要素認証の関連について整理してみました。

FIDO（Fast Identity Online）認証は、オンラインアカウントへの安全なアクセスを提供するためのオープンスタンダードです。FIDO Allianceによって開発されたFIDO認証は、従来のパスワード認証方法に代わる、よりセキュアな認証方法です。

FIDO認証の代表的な認証方式としてFIDO U2FとFIDO２があります。それぞれの違いについては、こちらの記事を参考にしてください。

※本記事ではFIDO U2FとFIDO２を分けて整理しております。

　FIDO U2FとFIDO 2の違いとは | SCSK ITプロダクト＆サービス (network-innovation.jp)

パスワード認証/パスワードレス認証とは、それぞれ下記の特徴があります。

■パスワード認証

　　●パスワード認証とは

　　　・ユーザーが入力したパスワードを、システムが受け取って認証する方式

　　●メリット

・広く利用されているため、実装が簡単

　　　・一般的に知られているため、ユーザー操作イメージがしやすい

●デメリット

・ユーザーは複雑な文字列を覚えなければいけない場合がある

・ユーザー/管理者の両者共にパスワード管理が大変

　・セキュリティレベルは不十分

■パスワードレス認証

　　●パスワードレス認証とは

　　　・パスワードを認証する先のシステムへ渡さずにユーザーを認証する方式

　　●メリット

・パスワードほど複雑な文字列は不要（PINを設定している場合には、PINを覚える必要があります）

　　　・ユーザー/管理者の両者共にパスワードを管理する必要がない

　　　・セキュリティレベルが高い

●デメリット

・様々な実装方式があり、設定値(例：FIDOのUP/UV)等を細かく設定する必要がある

　　　・認証情報を紛失したらログインできなくなる場合がある

　　　・動作環境によって、正しく動作しない場合がある

ここで注意いただきたいのは、パスワードとPINは異なるということです。

どちらもユーザーが入力するという点では同じですが、使われ方に明確な違いがあります。

パスワード認証/パスワードレス認証ともに、多くの実装方式があります。

現在主流な認証方式である、パスワード認証と組み合わせて使われる、代表的な認証方式を整理してみました。

FIDO U2Fはパスワード認証と組み合わせて使われる認証方式のため、パスワード認証と位置づけしました。

CAPTHAは、自分がロボットでないことを示すときに使われる、文字列や画像となります。

近年新たな認証方式として注目されている、パスワードレス認証の代表的な認証方式について整理してみました。

パスワードレス認証というワードは新しいですが、証明書認証や生体認証など既に普及している技術も含まれるため、イメージしやすいのではと思います。

次に、多要素認証の観点でも整理してみました。

多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することです。

そのため、例えばパスワードレス認証として生体認証のみが使われて場合は、1つの要素しか使われていないため、多要素認証とはいえません。

また、多要素認証とパスワード認証/パスワードレス認証を組み合わせた認証例についても記載しました。

多要素認証とパスワード認証/パスワードレス認証は異なる観点のため、どの要素を実装/利用しているか、整理することが重要です。

まとめると、FIDO U2Fはパスワード認証かつ多要素認証、FIDO2はパスワードレス認証かつ多要素認証、と整理することができました。ただFIDO2認証は年々増加しているため、FIDO２対応のシステムが一般化していくと、FIDO認証はパスワードレス認証かつ多要素認証といえる日は近いのかもしれません。

YubiKeyではFIDO U2F、FIDO2の他に、ワンタイムパスワード（OTP）や証明書（PIV）として使える機種があります。

FIDO2対応の○はFIDO U2F、FIDO2共に利用できることを示しております。