FIDOとは何ですか?

FIDOアライアンス

Fast Identity Online(FIDO)Allianceは、主要なテクノロジー企業、政府機関、サービスプロバイダー、金融機関、支払い処理業者、およびその他の業界のコンソーシアムであり、Webサイト、アプリ、およびその他の分野でのパスワードの使用を排除することを目的として2013年に設立されました。デバイス。

FIDO Allianceのメンバーは誰ですか?

FIDO Allianceには、企業、決済、通信、政府、ヘルスケアのグローバルな技術リーダーを含む250人以上のメンバーがいます。 Microsoft、Google、Apple、Amazon、Facebook、Mastercard、American Express、VISA、PayPal、OneSpanなどの大手企業は取締役会レベルのメンバーシップを持っています。

FIDO認証とは何ですか?

FIDO認証は、FIDOAllianceの発案によるものです。 FIDO認証標準の目標は、パスワードの使用を減らし、デスクトップおよびモバイルデバイスでの認証標準を改善することです。 FIDOは、秘密鍵と生体認証を使用する場合、人のデバイスから離れることがないため、人のセキュリティとプライバシーを保護するように設計されています。 たとえば、指紋をスワイプしたり、ワンタイムPINを入力したりでき、複雑なパスワードを覚えておく必要はありません。 FIDOは、Windows 10およびAndroidプラットフォーム、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple SafariWebブラウザーなどの主要なブラウザーおよびオペレーティングシステムでもサポートされています。

静的パスワードは、サイバー犯罪者がフィッシング、マルウェア、およびその他の種類の攻撃を使用して簡単に盗むことができます。 さらに、大規模なデータ侵害により、ユーザー名、パスワード、およびその他の個人情報(PII)の群れがダークウェブ上の犯罪者に利用可能になりました。 これは、アカウントの乗っ取り、ソーシャルエンジニアリング、中間者攻撃などの金融詐欺の爆発的な急増に拍車をかけています。 それ以来、政府、政策立案者、規制当局は、金融機関やその他の組織に多要素認証(MFA)と強力な顧客認証(SCA)を通じてポータル、アプリ、システムへのアクセスを保護することを義務付けるサイバーセキュリティとデータセキュリティの法律と規制を導入することで対応してきました。 。 2013年にFIDOAllianceが発足したとき、データ侵害に対する一般の認識が高まりました。 今日、後注目を集める違反Yahoo(30億のアカウントが公開されている)、Marriott(5億)、Equifax(1億4700万)のように、オンラインアカウントとシステムへのアクセスは、パスワードではなく強力な認証によって保護する必要があることは明らかです。
 

FIDO AUTHENTICATION

FIDO AUTHENTICATION

Solutions based on the FIDO standard for simpler, stronger authentication using an open, scalable, and interoperable approach

Learn More


FIDO認証はどのようにしてパスワードなしのログインを可能にしますか

ザ・FIDO Allianceは、さまざまなブラウザやオペレーティングシステムで、多くのベンダーのハードウェアやモバイル認証システムと相互運用可能な仕様と認証、および顔認識などの生体認証を作成しました。 これにより、パスワードなしの認証と多くのアプリやWebサイトへのログインが可能になり、よりスムーズなユーザーエクスペリエンスが実現します。 FIDO認証標準は公開鍵暗号に基づいており、安全で簡単なログインエクスペリエンスと、Webおよびオンラインサービスのセキュリティを低コストで提供するように設計されています。 FIDOの最新の認証仕様は、Client to Authenticator Protocols(CTAP)です。 CTAPはW3CのWeb認証(WebAuthn)仕様; WebAuthnは、FIDO認証のサポートを可能にするWebブラウザおよびプラットフォームに組み込まれている標準のWebAPIです。 CTAPとWebAuthnを組み合わせたものをFIDO2と呼びます。

FIDO2はFIDOアライアンスの最新プロトコルです

FIDO2は最新のFIDO認証プロトコルです。 FIDO Allianceは、従来のパスワード保護よりも便利でセキュリティが高いFIDO2を開発しました。この標準は、World Wide Web Consortium(W3C)によって承認されました。 FIDO2仕様は、W3CのWeb認証(WebAuthn)プロトコルとFIDO AllianceのClient-to-Authenticatorプロトコル(CTAP)で構成されています。 これらのコンポーネントを組み合わせることで、認証が可能になります。

CTAP

CTAPを使用すると、ユーザーはセキュリティキーまたは携帯電話を使用して、USB、Bluetooth、またはNFC(近距離無線通信)を介してユーザーのデバイスに認証資格情報を通信することにより、パスワードなしでログインできます。 その結果、CTAPにより、Webブラウザーへの認証が容易になります。

WebAuthn

WebAuthnを使用すると、オンラインサービスで標準のWeb API(アプリケーションプログラミングインターフェイス)を介してFIDO認証を使用できます。このAPIは、ブラウザーに組み込むことができ、デバイスが通信できるようにします。 WebAuthnとCTAPを組み合わせることで、ユーザーは、バイオメトリクス、PIN、または外部FIDOオーセンティケーターを使用して、WebサイトまたはWebアプリに属するFIDO2サーバーに対して自分自身を識別できます。 FIDO2は、以前に認定されたFIDOセキュリティハードウェアと下位互換性があります。

FIDO認証がセキュリティとプライバシーをどのように改善するか

認証のFIDO仕様は、ユーザーのプライバシーを保護するように設計されています。これは、FIDOにより、顧客が使用するさまざまなオンラインサービス間で顧客の情報が追跡されるのを防ぐためです。 FIDOは、ユーザーのプライバシーを向上させるために特別に設計されました。

FIDOおよび公開鍵インフラストラクチャ(PKI)

FIDOは公開鍵暗号に基づいています。 によるガートナー、「公開鍵インフラストラクチャ(PKI)は、主に安全でないネットワークを介した安全な情報交換をサポートするために開発されました。」良い例は、携帯電話のモバイルバンキングアプリを介して銀行と取引している消費者です。 銀行のサーバーと顧客の電話の間の通信は暗号化する必要があります。 これは、秘密鍵と公開鍵のペアと呼ばれる暗号化鍵を使用して行われます。 これらのPKIキーは、銀行取引に関する暗号化された個人情報をロックおよびロック解除するものと考えてください。 公開鍵は、銀行のサーバーなどのオンラインサービスに登録されます。 クライアントの秘密鍵は、ユーザーがデバイス上でロックを解除した後でのみ使用できます。 その結果、サイバー犯罪者が盗むためのサーバー側の秘密はありません。  

また、公開鍵と秘密鍵の間で情報が共有されることはありません。 たとえば、FIDO認証をサポートするオンラインサービスに対して認証する場合は、ラップトップのUSBポートに接続するFIDO2FAオーセンティケーターデバイスを使用して認証できます。 または、FIDO対応のAppleまたはAndroidスマートフォンを使用している場合は、電話をFIDOオーセンティケーターとして使用できます。 まず、オンラインサービスの受け入れポリシーに一致するOneSpanのDigipass FIDOTouchなどのFIDO2オーセンティケーターを選択するように求められます。 次に、PIN、指紋、顔のスキャン、またはハードウェアデバイスのボタンを使用して、FIDOオーセンティケーターのロックを解除します。 FIDO認証を使用してログインすると、パスワードが不要になります。

FIDO認証がフィッシングやその他の攻撃の防止にどのように役立つか

FIDO認証はパスワードを排除します。 パスワードは、認証チェーンの中で最も弱いリンクです。 その結果、FIDO標準は、フィッシングなどのソーシャルエンジニアリング攻撃に対してより耐性があります。フィッシングでは、犯罪者が感情的または説得力のあるアピールで人々をだまして、悪意のあるリンクをクリックしてユーザー名、パスワード、機密情報を盗もうとします。 FIDO認証は、顧客のデバイスと金融機関のサーバー間の通信を傍受する可能性のある中間者(MITM)攻撃にも対抗します。 このタイプの攻撃では、犯罪者は自分の利益のために金融取引を変更することができます。 FIDOの仕様では、秘密鍵と生体認証テンプレートがユーザーのデバイスから離れたり、サーバーに保存されたりすることはないため、プライバシーに対応しています。 キーは各トランザクションに固有であり、サイバー犯罪者の攻撃対象領域が小さくなります。 PIN、指紋、または顔のスキャンを要求することにより、FIDOオーセンティケーターは、ログインしている人がコンピューターの背後にいる本物の生きた人間であり、リモートのハッカーやトロイの木馬ではないことを確認します。

FIDO認証がカスタマーエクスペリエンスをどのように簡素化するか

顧客は、さまざまなデバイスやWebサイトの複雑な複数のパスワードを覚えておく必要がなくなりました。 生体認証またはPINを使用すると、指紋や顔のスキャン、ワンタイムパスコード(OTP)の入力、音声認識の使用、ハードウェアによって生成されたOTPの入力などの簡単な操作で、デバイスの秘密鍵のロックを解除できます。トークン。 公開鍵は銀行のサーバーに保存され、認証またはトランザクションのいずれかのために秘密鍵で何が署名されたかを確認します。 取引先の会社に資格情報が送信されたり、保存されたりすることはありません。 これにより、プライバシーが保護され、ログイン資格情報が犯罪者のアクセスから保護されます。 この標準はまた、オンラインの顧客体験を改善し、強力な認証を使いやすくすることで顧客ロイヤルティを高めるのに役立ちます。

コンプライアンス

FIDO規格は、より強力なユーザー認証に関する規制に準拠しています。 FIDOは、欧州連合の改訂された決済サービス指令(PSD2)規制技術仕様(RTS)の要件を満たすように設計されています。これは、顧客の認証が、パスワードまたはPIN、トークンまたはモバイルデバイス、または生体認証を含む2つ以上の要素に基づく必要があるためです。

FIDO規格は、以下に準拠するようにも設計されています。

  • 一般データ保護規則(GDPR): EU市民のデータを運用、保存、または処理するすべての組織は、GDPR要件の対象となります。 PINまたは生体認証を使用して、誰かが実際に本人であるかどうかを確認することは、GDPRで必要とされる多要素認証の例です。
  • 金融活動タスクフォース(FATF): FATFのデジタルアイデンティティガイダンスでは、「このガイダンスで推奨されているリスクベースのアプローチは、デジタルIDシステムの一連のオープンソースのコンセンサス主導の保証フレームワークと技術標準に依存しています」と述べています。
  • ニューヨーク州金融サービス局(NYDFS)のサイバーセキュリティ規制:ニューヨーク州最大の州規制当局はNYDFSです。 NYDFSは、金融サービス会社にサイバーセキュリティ要件を導入しました。これは、「非公開情報または情報システムへの不正アクセスから保護するために」MFAの使用を要求します。非公開情報は個人の個人情報です。
  • 米国国立標準技術研究所(NIST): FIDO認証は、強力な認証に関するNISTガイドラインに準拠しているため、ネットワークに対してユーザーを認証するために、NISTによって設定された要件に準拠するように設計されています。

私たちと連絡を取る

当社のソリューションがデジタルセキュリティのニーズにどのように役立つかについて詳しくは、セキュリティの専門家の1人にお問い合わせください