アメリカの連邦政府機関とアイデンティティコミュニティが新しいテクノロジーとトレンドについて議論する連邦アイデンティティフォーラム (FedID) において、米国政府は初めて FIDO Universal 2nd Factor (U2F) 認証プロトコルを採用しました。
U2Fプロトコル
U2Fプロトコルは、生体認証および二要素認証プロトコルの標準化に取り組む企業グループであるFIDOアライアンスによって設計・開発された主要プロトコルの一つです。U2Fプロトコルは、U2F規格の共同策定者であるYubico社などのハードウェア認証トークンメーカーによって既に採用されており、Yubico社は人気のYubikeyトークン(新しいU2F規格対応の有無にかかわらず)も販売しています。
Google、Facebook、Dropboxなどの大手サービス企業もU2F認証を採用していますが、これらの企業の実装の多くは、SMSコアの取得をバックアップの2要素認証ソリューションとして許可することで、その弱体化を招いています。U2F認証は、ハードウェアトークンのみを使用し、より弱い代替手段をバックアップとして使用しない場合、攻撃に対する耐性が高まります。
「フィッシング不可能」な認証
ID.meアイデンティティゲートウェイを既に利用していた複数の連邦政府機関は、サービスを通じてFIDO U2F二要素認証ソリューションが利用可能になるとすぐに利用を開始しました。ID.meシステムは、FIDO U2Fハードウェアトークンを、アイデンティティ証明サービスのための追加認証レイヤーとして利用しています。また、ID.meプラットフォームは、ユーザーが仮想「IDカード」を保管できるウォレットも提供しており、ユーザーはこの仮想IDカードを様々なサービスやウェブサイトへのログインに使用できます。
「窃盗犯はデータベースからパスワードを推測したり盗んだり、生体認証を偽装したりすることができます」と、ID.meのCEOであるブレイク・ホール氏は述べています。「物理的なFIDO U2Fセキュリティキーは『フィッシング不可能』です。アカウントに侵入するには、物理的に盗まれる必要があります。すべての顧客に、より堅牢で使いやすいセキュリティを提供するためには、FIDO U2Fベースの標準規格とセキュリティキーの導入が不可欠です」と、ホール氏は警告しました。
250社を超える企業がFIDOアライアンスのメンバーとなっており、FIDO U2Fプロトコルがあらゆる場所で利用されるようになるのは時間の問題です。Verizonの最新のデータ漏洩調査報告書によると、データ漏洩の81%は脆弱なパスワードや盗難されたパスワードが原因で発生しています。二要素認証(これも傍受が容易ではありません)の導入は、ハッキングの難易度を大幅に高めるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
