昨年11月にマイクロソフトは、MicrosoftアカウントのFIDO2対応を発表した。
●セキュリティ キーまたは Windows Hello を使用したパスワード不要の安全な Microsoft アカウントへのサインイン - Windows Blog for Japan
https://blogs.windows.com/japan/2018/12/07/sign-in-to-your-microsoft-account-without-a-password-using-windows-hello-or-a-security-key/#OrcygbvoMO2egAVT.97
この話、ちょっとわかりにくい。一見、Windows 10のログイン(サインイン)がセキュリティキーに対応したようにも読めるが、実際に可能なのは、Edgeを使って、Outlook.comなどのマイクロソフトのインターネットサービスにログインする場合の話だ。
さらに言えば、対応したのは、FIDO2仕様のセキュリティキーデバイスとWindows Helloである。つまり、Outlook.comなどのマイクロソフトのサービスにログインするとき、Windows HelloまたはFIDO2セキュリティデバイスを使って可能になるということだ。
このとき、ユーザーIDもパスワードも不要だが、Windows Helloの場合には、設定しているPINの入力や指紋リーダーへのタッチが、FIDO2デバイスなら、デバイスに設定したPINとキーへのタッチが必要になる。今回は、このあたりを解説したいと思う。
|
|---|
| こうしたUSBデバイスを持ち歩いて、必要な時だけPCに刺すことでパスワード入力をせずにインターネット上のサービスにログインできるようになる |
パスワード無しでの認証の標準仕様「FIDO」
FIDO(ファイド)とは「Fast IDentity Online」の略で、FIDOアライアンスという業界団体を指している。この団体は、インターネットのさまざまなサービスにすばやく高いセキュリティでアクセスする方法を考えている。
その目標の1つがパスワード無しのログインだ。その際に物理的な「セキュリティデバイス」(セキュリティキー)を使う。FIDOは当初、U2F(Universal Second Factor)、UAF(Universal Authentication Framework)という2つの2要素認証方式についての仕様を策定した。
その次に策定したのがFIDO2と呼ばれる仕様で、こちらは、公開鍵暗号方式を使う認証方式でパスワードを不要にするもの。どちらも、ウェブブラウザやアプリケーションが、セキュリティキーなどのハードウェアを使って認証するための仕様だ。
このうちUAFは、指紋リーダーなどを持つスマートフォンのアプリケーションとして実現する仕様だ。あらかじめサービス側にスマートフォンを登録することで、スマートフォン自体を認証デバイスとして利用できる。これに対してU2Fは、一般的なユーザーID/パスワードによる認証方式を2要素認証化するときの2つ目の認証要素として使うことを想定したものだ。鍵のような形をしたUSBセキュリティキーになっていることが多いが、BluetoothやNFCでも接続が可能であるため、違う形のものもある。
FIDO2は、公開鍵暗号方式を使う認証方式を実現するものだ。U2Fでは、既存のパスワード方式と併用していたが、FIDO2は、2要素認証ではないのでユーザー名やパスワードの入力が不要になる。公開鍵暗号を使って、サービスのログインに必要な情報をやりとりする。
盗まれた場合などを想定してPINは設定するが、原則、セキュリティキーの存在と、ユーザーの存在(これはセキュリティキーにあるタッチセンサー/スイッチで行なう)でログインを完了できる。これによりパスワードなしのログインが可能になる。なお、FIDO2デバイスは、U2Fとも互換性があるため、U2Fを要求するサービス(たとえばGoogleの2要素認証)でも利用することが可能だ。
この連載の記事
- 第166回 Windows 10のアプリテスト用環境「Windows Sandbox」の構成ファイル
- 第165回 Windows 10でUWPアプリを起動する方法
- 第164回 Windows Subsystem for LinuxとWindows内の文字コード
- 第163回 ストレージ32GBマシンに「予約済み記憶域」を入れてWindows 10のアップデートを楽にする
- 第162回 「半期チャンネル(対象指定)」が無くなり、Windows 10の機能アップデートはいつ実施すればいい?
- 第161回 Win32側からWindows Subsystem for LinuxのVolFsへのアクセスが可能に
- 第160回 Windows 10 RS5に搭載されたレイトレーシングの機能
- 第159回 改元絡みでWindows 10の電卓アプリがバグってました
- 第158回 Windows Subsystem for Linuxでディストリビューションを区別するためにByobuを使う
- 第157回 「WslFs」はWindows Subsystem for Linuxでのファイルシステムを置き換える存在!?
- この連載の一覧へ
