最新の認証の未来はどうなっていくのでしょうか？

2022年5月23日2023年2月7日

2008年にYubiKeyを最初に市場投入して以来、認証とセキュリティの世界では多くの変化が起こっています。このブログでは、オープン認証規格における当社の立ち位置を確認し、「Passkey」の登場について説明し、最新のWebAuthn/FIDO認証の未来について情報を共有します。

グローバル規格の作成

すべての人とすべてのサイトに高度なセキュリティを導入するために、Yubicoは2012年にGoogleとともにUniversal Second Factor（U2F）を作成し、2013年にそれをFIDO Allianceに移行して、すべての人にとってインターネットをより安全にするグローバル規格を提案しました。この規格では、ハードウェアの公開鍵/秘密鍵の暗号によるセキュリティが使用され、USBデバイスとポート（またはモバイルのNFC）、およびそれをサポートするWebサイトしか必要でないことが示されました。

U2FをFIDO2/CTAP2および W3C WebAuthnに拡張するために、当社は標準化団体のメンバーと協力し革新を続けました。これらの進化した規格では、既存のすべてのU2Fデバイスをサポートし、さらに、電話やコンピューターなどのデバイスに組み込まれているデバイスPIN、生体認証、認証テクノロジー、およびユーザー名やパスワードをまったく使用しない操作を可能にするローカルで検出可能なクレデンシャルをサポートするオプションが追加されています。

現在起きていること

この標準化作業およびプラットフォームとの連携を通じて、すべての主要なデスクトップおよびモバイルプラットフォームへの普遍的なサポートを実現し、現在対処中のいくつかのまれな問題をプラスまたはマイナスして、あらゆる場所でフィッシングに強い認証を行うことができるソリューションであるWebAuthn/FIDOが完成しました。

SMS、モバイルプッシュ通知、ワンタイムパスワード（OTP）などの代替の多要素認証（MFA）ソリューションには悪用可能な技術的な欠陥が含まれており、それにより人々をだます「中間者」フィッシング攻撃が簡単になります。これは、ユーザー名とパスワードにまさるMFAメカニズムが普及する今日、まさに攻撃者が行っていることです。

次に起こること

FIDO Alliance、World Wide Web Consortium（W3C）、およびプラットフォームベンダーと何年も連携し、WebAuthn/FIDOで可能な対応をさらに強化してきました。そして、どんな未来が待っているか楽しみにしています。本日、これらの革新と追加に関する3点について説明します。

用語の変更

変更されている用語がいくつかありますが、これらはユーザーと開発者の両方にとって理解しやすいものになっていると思います。「Security Key」というフレーズは、WebAuthn/FIDOクレデンシャルを含む、YubiKeyなどの外部FIDO対応ハードウェアデバイスを表す標準的な表現になっています。ただし、「WebAuthn/FIDOクレデンシャル」とは必ずしも言いやすい言葉というわけではなく、専門家でない人にとってはほとんど理解されていません。

「パスワード」はすでに広く理解されている用語です。これらのWebAuthn/FIDOクレデンシャルでパスワードを置き換えることができるため、業界に「Passkey」という用語が導入されました。これは、昨年Appleが発表した‘Passkeys in iCloud Keychain’および最近のWIRED記事で公に言及されました。この投稿の残りの部分では、WebAuthn/FIDOクレデンシャルがSecurity Key内にあるか、デバイスのハードウェアにバインドされているか、またはクラウドプロバイダーによってコピーされたデバイス上のファイルに保存されているかどうかに関係なく、WebAuthn/FIDOクレデンシャルについて言及するときはPasskeyと言います。

この表現が普及し始めたため、Passkeyの定義、Passkeyが追加の認証オプションとしてどのように機能するか、WebAuthn/FIDO認証オプションの拡張がどのようになるかについて、お客様やパートナーから多くの問い合わせがありました。この進化するストーリーについては、以下で説明します。

Bluetoothの改善、およびSecurity Keyとしての電話

Yubicoは、プロトタイプのBluetooth認証システムを構築し、他社と協力して最初のFIDO Bluetoothトランスポートを作成しました。しかし当社が下した最終的な決定は、Bluetooth YubiKeyの製品を出荷しないことでした。これは、この取り組みで学んだ次のことに基づいて行われました。

Bluetoothのペアリングはセキュリティや使いやすさの特性が不十分である
バッテリーは残量を維持するために定期的かつ慎重に充電するか、交換可能である必要がある。これにより、デバイスの堅牢性が損なわれるため、必要なときに必要なだけ代替品を用意する必要がある
Bluetoothのプロトコルやハードウェアの実装は複雑であり、発見された脆弱性に対処するために常に最新の状態に保つ必要がある
Bluetoothハードウェア、ドライバー、およびOSサポートの状態に一貫性がなく、信頼性がない

Bluetooth Security Keyとして使用するのに適しているデバイスは電話だけであるという結論に至りました。特に電話は、次の理由で適しています。

ほとんどすべての電話に、Bluetoothのペアリングを容易にするカメラがある
ほとんどの場合、所有者が慎重かつ定期的に充電する
ソフトウェアとファームウェアを定期的に更新するメカニズムがすでにそなわっている
多くの時間、所有者が保持していると考えられる

認証器として電話を使用することは当社の当初のビジョンの一部であり、長い間これに取り組んできました。電話に組み込まれている生体認証を、FIDO2を使用して同じデバイスにログインするために使用できるようにしたのと同じ方法で、他のデバイスで認証するために使用できるようにするにはどうすればいいでしょうか？標準化団体とプラットフォームでの長年の作業を経て、準備はほぼ整っています。カメラを利用したBluetoothのペアリングは、現在主要なブラウザとOSで有効になっており、プラットフォームのBluetoothの癖は、長年のテスト、アップグレード、バグフィックスによってほとんど修正または回避されており、Bluetooth+ネットワークトランスポートは十分にテストされています。

有効にした場合のmacOS/iOSでの現在の表示は次のとおりです（変更される可能性があります）: