コミュニティ
HPE Blog, Japan
1819882 メンバー
2548 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

Passkey(パスキー)の裏側がわかる - FIDOが本格的な実用フェーズに

‎03-01-2023 10:00 AM

今回は、FIDOの拡張技術として注目が集まる「Passkey(パスキー)」をご紹介します。

icewall230301-01.jpg

 

ゼロトラストに限らず、クラウドネイティブな世界において、認証技術の重要度が従来にも増して高まっていることは、本ブログでも取り上げてきた通りです。
パスワード認証は、もっとも基本的で、簡単な処理で実現できる認証方式ですが、インターネットやクラウドのような誰でもつながる環境では、あまりにも脆弱で、不十分と言わざるを得ません。
パスワード攻撃やフィッシングなど様々な攻撃によって、企業の機密情報や信頼性、個人の財産やプライバシーのへの新たな脅威のきっかけになっている事例がひっきりなしに出てきています。

パスワード認証の弱点をカバーする多要素認証は、従来は特別な機器やアプリが必要で、利用の際もユーザーや管理者の負担が大きく、広く利用される状況にはなかなか至っていないのが現状と言えます。
そんな中、昨年から今年にかけて「Passkey(パスキー)」という技術が急速に注目されてきています。

PasskeyはFIDOの利用方法を拡張した認証方式の総称です。
FIDOは当初から「パスワードに依存しない認証方式」として開発、拡張されてきました。
FIDOのネーミングはFast Identity Online(高速で手軽なインターネット時代のID認証)の頭文字を取ったものですが、世間一般に普及するには、お世辞にもなじみやすい用語とは言えませんでした。
パスワードに代わる技術として、文字列(ワード)の代わりに暗号技術(キー)を使って認証を行う様子を、直感的に分かり易い「パスキー」と名付けたことで、一気に注目が広がっているようです。

icewall230301-02.jpg

1:Passkeyとは

 

PasskeyはApple社のiOSiPadOS、macOSGoogle社等のAndroid OS端末での提供が早速始まっていますし、Microsoft社も対応を表明しています。

icewall230301-03.jpg
図2:Passkeyを使用したサイトのログイン画面の例

 

Passkeyの利用方法の解説は別の記事に譲るとして、この投稿ではPasskey導入の際のメリットと注意点を整理しておきたいと思います。

 

Passkeyによって従来のFIDOの課題を解決できます

残念ながら、従来のFIDOには、以下に挙げるような導入を躊躇させる課題があったことは確かです。Passkeyによってこれらを解決することできるので、より一般での利用が広まることが期待できます。

 

  • 認証器を紛失したり壊れたり機種変更すると認証できなくなる
    FIDOでは、端末の認証器とサーバの間で公開鍵をやり取りすることで11の紐づけを行います。そのため、認証器が使えなくなるとFIDOでの認証は一切できなくなります。これを回避するためには、リカバリのためにパスワード認証を用意しておくとか、あらかじめ認証器を複数登録する、等の対応が必要でした。また、端末を機種変更するとFIDOの再登録が必要です。
    Passkey    では、認証器の登録情報が端末OS側の同期機能の中でクラウド上にバックアップされ、必要であれば複数端末の間で同期できるようになります。認証器を紛失したり、機種変更する場合にも、登録情報が引き継がれるのでFIDO認証を継続することができます。
    icewall230301-04.jpg
              図3:Passkeyでは認証器の登録情報がバックアップされる

 

  • 認証器の登録操作が煩雑、登録手順が標準化されていない
    FIDOでは公開鍵暗号を用いた強固な認証方式は確立され、標準化もされました。しかしながら、ユーザーがどのような手順で認証器の登録を行うかは構築実装に任されていました。
    Passkey    ではユーザーのサインアップの一連の流れの中で認証器を登録する手順が提案されています。コンシューマユーザーにとってより分かり易く使いやすい形で高度な認証機能を提供できるようになります。

  • PCでのFIDO認証にスマホを認証器として使用したい
    FIDOでは、ユーザー端末となるPCやスマホ自体が認証器となるか、USBキーの認証器を使用するか、のいずれかが基本的な利用方法でした。
    Passkeyではこの方法に加えて、ユーザーがログインしようとしている端末とは別の端末(スマホ)を認証器として使用するための方式が提供されます。

    具体的には、
    ① ログイン画面でユーザーが「他の認証器で認証」のボタンを選ぶと、
    ② QRコードが表示され、
    ③ それを認証器として登録済みのスマホでスキャンする、
    ④ 認証情報がBluetooth経由でログイン端末に送信され認証が完了する、
    という流れになります。

icewall230301-05.jpg
          図4:PCでのFIDO認証にスマホを認証器として使用

icewall230301-06.jpg
                図5:従来のFIDOPasskeyの比較

 

Passkey導入時に注意すべき点

次に挙げるのは、FIDOからPasskey世代への対応を行うに際に、従来のFIDOとの違いのために留意が必要になる点です。

  • 所持認証としてのFIDO認証
    Passkeyは、複数の端末認証器で認証情報を同期できる点が大きなメリットです。これに対して、元々のFIDOでは認証情報は認証器から外には出ないことになっていて、FIDOを無二の所持物の所持認証として活用する際の前提となっていました。
    Passkeyの同期機能の利点は享受しつつ、次のような考慮を行うことで従来のFIDO同様の扱いが可能となります。
    1. サーバ側のFIDO認証処理の中で、認証情報が同期されたものなのかどうかを属性でチェックすることができます。これによって、ユーザーが使用した認証器の認証情報が同期されていない事を担保できます。現時点で厳密な所持認証を行いたい場合には、Yubico社のYubiKeyFEITIAN Technologies社のBioPass等の独立したUSBキーの認証器を採用することになります。

    2. 実装している認証器はまだ存在しませんが、そう遠くない将来の対応としては、端末ごとに追加の認証情報を保持できるようになます。この機能によって、物理的にどの認証器でFIDO認証を行っているのかを識別できるようになります。これが実現すればスマホの認証器でも厳密な所持認証の確認を行うことができます。

icewall230301-07.jpg

6Passkey対応の際の注意点

icewall230301-08.jpg
7Passkeyにおける厳密な所持認証の解決策

 

HPE IceWallではFIDO技術への対応を最初期から行い、業界に先駆けて製品提供を行ってきました。
Passkeyでの検証もすでに完了しており、お客様が、より強固で使いやすいPasskeyのメリットを生かした機能を容易に導入できる仕組みを提供してまいります。

 

[関連リンク]

 

[Blog記事]
IceWallビジネス推進部 ブログ記事一覧(IceWall_Mktg)

 

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります