FIDO認証：パスワード不要！ヒミツは渡さない！認証の仕組み

はい、こんにちは～。今回から「認証」の話をしたいと思います。

「認証」といっても、その技術はアマゾン川くらい幅広く、そしてマリアナ海溝くらい奥深いので、私の能力では技術的に正確で濃密な解説なんぞ、できません…。認証は、暗号理論と密接にかかわりがあり、これは「数学の鬼」でもないとそもそも理解不能です。

ですから、目指すところは、「専門家でなくても、何となく分かった気持ちになれる…」くらいのところを目指します！あくまで読者様と、「一緒に学びましょう！」というスタンスです。とはいえ、もちろん、分かる範囲で正確な情報を提供するように心がけます。ご承知おきください♪

パスワード不要！FIDO認証

さて、まず最初に認証技術としてご紹介するのは、FIDO（Fast IDentity Online）です。

聞いたことないですか…。ですよね。でも、これ技術はすばらしいのです。特徴は２つあります。

• パスワードを使わない！

• サービス側にヒミツを渡さない！

これはユーザにとって、とても嬉しいですね！このような優れた特徴があるので今回トップバッターとして、FIDOを紹介したいのです。

ちなみに読み方は、海外発信の解説動画を聞く限り、「ファイドゥ」ではなく「ファイド」と発音していることが多いので、「ファイド」でよいと思います。

認証における３つの「要素」とは？

FIDOについて深入りする前に、ちょっとだけ認証の基礎について触れさせてください。実は、FIDOを理解する上で大事なことなので。

認証は次の3つの要素を使って行います。

1. 知識要素（something you know：パスワード、秘密の質問など）

2. 所有要素（something you have：ICカード、スマホなど）

3. 生体要素（something you are：指紋、虹彩など）

それぞれ、あなたが「知っていること」「持っているもの」「あなた自身」を使って認証を行うことができるわけです。これらを組み合わせて私たちはいろんなサービスの認証を受けているわけです。

パスワード：安い！簡単！そして不満だらけ

私たちにとってもっとも馴染みのある認証といえば、知識要素である「パスワード」ではないでしょうか？

実は、この「パスワード」、サービスを提供する側にとって導入しやすいものです。多くの場合、大きな投資がなくても短期間で、比較的簡単に導入できてしまいます。サービス側にとって、都合のよい仕組みなんですね。だから今でも主要な認証方法なわけです。

ひるがえって、皆さま、パスワードはお好きですか？例えば、こんな設定条件を求めれたりしませんか？

• 10字以上にして、記号を加えて、数字も加えて、大文字も加えて、推測されにくい文字列で設定してください。

• ２か月に一度更新してください。

• そうそう、他のサービスとの使い回しはダメですよ。

人間は、こんな面倒くさいことに耐えられるように作られていません（多分）。結果として、ポストイットに貼り付け、入力しながら口ずさみ、住所や誕生日とかをパスワードに組み込み、、、そして「パスワードが分からない…」とリセット用のリンクボタンを押しているのではないでしょうかｗ？

心当たりありますよね？かように、パスワードは、ユーザへの負担が大きすぎるんです。

パスワードは攻撃されやすい

パスワードが抱える問題は、ユーザの負担だけではありません。各種の攻撃にさらされます。具体例は次の通りです。

ブルートフォース攻撃、辞書攻撃、パスワードリスト攻撃、パスワードスプレー攻撃、リプレイ攻撃、ソーシャルエンジニアリング…

個別の攻撃について解説しませんが、まあ、「パスワードを何とか突破してやろう」という攻撃の多いこと…。

ということで、パスワードはセキュリティ面でも不安が多いんですね。

はい、本日はここまで。今回は、FIDO認証の導入をしました。知識要素による認証（パスワード）って問題が多いんだな～ということもお話ししました。

これを踏まえて、FIDOではどんな要素を使って認証するか次回お話ししましょう！

では～。