パスワード2.0というレポートを先日出してはいますが、私は次の認証手段として最有力なのは、FIDO2(生体認証)だと思います。
www.atmarkit.co.jp
Microsoftは2019年7月10日(米国時間)、「Azure Active Directory」(Azure AD)でパスワードレス認証を可能にしたと発表した。
「FIDO2」セキュリティキーをサポートするパブリックプレビュー版の提供を開始したことで、Azure ADに接続する全てのアプリケーションとサービスへのシームレスで安全な、パスワードレスアクセスを提供する第一歩になったという。
FIDO2は非営利団体「FIDO Alliance」が推進するオープンな次世代認証標準。生体認証(UAF)と2段階認証(U2F)からなる。FIDO2はパスワード認証と異なり、パスワード文字列のような機密情報を端末から送信しないことが特徴。FIDO2に対応するサービスとWebブラウザを利用すれば、Web上でもパスワードレス認証が可能になる。
パスワードにはもはや効果がない
Microsoftがパスワードレス化を進めているのは、「クラウドサービスやクラウドアプリに顧客が移行している上に、パスワードがもはや効果的なセキュリティメカニズムではなくなっている」と認識しているからだ。「業界の調査によると、成功したサイバー攻撃の81%は、ユーザー名とパスワードの侵害から始まっている。従来のMFA(Multi-Factor Authentication)は非常に効果的だが、普及率が大変に低い」とMicrosoftは指摘し、「安全で使いやすい認証オプションを顧客に提供する必要があるのは明らかだ」との見解を示している。
(@IT記事より引用)
◆キタきつねの所感
FIDOアライアンスは東京セミナーを毎年12月に開催しており、去年は行けなかったのですが、過去何回か出席しています。FIDO2は、ドコモ等が実装しているFIDO UAFよりもWebに特化した規格で、従来のFIDO UAF/U2F同様(以上)に普及が期待されていると言っても過言ではないかと思います。
2年程前からFIDO2検討の話は聞いてましたが、今年3月のW3CでのWebAuthn勧告により、主要ブラウザの採用のみならず、Web認証サービスを提供している事業者の中で、今後FIDO2の採用例が増えていくのは間違いないかと思います。
W3CとFIDO Alliance - パスワード不要の安全なログインが勧告化に
昨年12月にはLINEもFIDO2対応を発表していますし、
linecorp.com
ヤフーも昨年9月にFIDO2対応を公表しています。
about.yahoo.co.jp
Googleも今年2月にAndroidでのFIDO2対応を公表している中、
jp.techcrunch.com
そんな中、今回のMicrosoftの発表となる訳ですが、Yahoo、LINE、Google、Microsoftと、FIDOアライアンスの(Webサービス系)ボードメンバーの多くがFIDO2対応を発表していますので、今後の急速にFIDO2が普及していくのではないでしょうか。
FIDOアライアンスのボードメンバーの構成を見てみると、Amazon、Facebook、PayPal、アリババ等も入っていますので、この辺りのメンバーが今後実装を発表してくると、一層、FIDO2の普及が加速するかも知れません。
今年のFIDO東京セミナーでも参考になる実装例が多数出てくるかなと期待しています。
尚、FIDO2の説明は以下の辺りをご参考にされると良いかなと思います。
techblog.yahoo.co.jp
参考(FIDOジャパンWG含)
fidoalliance.org
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴