「パスワードレス認証」が進行中 FIDOで変わる、セキュリティの常識：半径300メートルのIT（2/3 ページ）

[宮田健，ITmedia]

難しい公開鍵暗号方式を私たちでも使えるようにする仕組み「FIDO」

　公開鍵暗号方式は数学的にとてもエレガントです。うまく利用したいのですが、現状、私たちの本人確認は、いまだに「パスワード」という「共有の秘密」に頼っています。

　公開鍵暗号方式が個人向けサービスでなかなか普及しない理由は、技術的な難しさ。真正性を保ちながら公開鍵を配布する方法、暗号鍵を守る方法、鍵へのアクセス方法などの課題が解決困難であるためです。

　最近、この状況を打破すべく「FIDO」（Fast IDentity Online）という仕組みが考案されました。FIDOは、「共有の秘密」依存からの脱却を目標に、パスワードに関する課題を解決するためにつくられた認証モデルです。

FIDOの考え方（提供：FIDOアライアンス）

FIDOは「FIDO認証器」を使い、公開鍵暗号方式で安全に本人認証を行う（提供：FIDOアライアンス）

　FIDOのポイントは、取り扱いが難しい秘密鍵を「FIDO認証器」内に格納して、本人認証を端末内で完結する点にあります。デバイスにある生体認証などを使って、デバイスの操作者が本人であると認証すると、FIDO認証器にある秘密鍵を使って、公開鍵暗号方式で本人であることを認証します。

　ここで注目したいのは、上記の経路にどこにも「パスワード」が通っていないこと。FIDO認証器は生体認証に限らず、PINコードなどの利用も可能です。しかし、この方式であれば、生体認証データはもちろん、PINコードもインターネットの通信経路に乗りません。そのため、盗聴してもパスワードは盗めませんし、秘密鍵をFIDO認証器内から取り出すこともできません。この方法で、私たちはパスワードから解放されるのではないでしょうか。