特徴
- FIDO(Fast IDentity Online)は、公開鍵暗号方式を使用したクライアント認証技術の一つで、パスワードへの依存を少なくすることを目的とする認証方式
- FIDOには、FIDO UAF(Universal Authentication Framework)1.1、FIDO U2F(Universal Second Factor)1.2、FIDO2の三つの規格がある。
- FIDO UAF1.1とFIDO2はパスワードレスの認証方式で、FIDO1.1は主にスマートフォンによる利用を想定した規格
- FIDOでは、FIDOサーバ(認証サーバ)と認証器(Authenticator)、および認証用公開鍵によって構成され、FIDOサーバに認証器の情報と認証用公開鍵が事前に登録される
- 手順は以下のとおり
- FIDOクライアントがFIDOサーバへ認証要求を行う
- FIDOサーバはチャレンジを応答する
- FIDOクライアントでは、認証器を用いて認証操作を要求し、利用者によって生体認証やPINコード認証などで認証する
- 認証器は認証用秘密鍵を用いてチャレンジに対するディジタル署名を生成し、FIDOサーバに送信する
- FIDOサーバでは、認証用公開鍵で署名を検証して利用者の認証を行う
過去問
情報処理安全確保支援士試験 令和元年度 秋期 午前2 問1
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問1(一部、加工あり)】
認証処理のうち、FIDO(Fast IDentity Online)UAF(Universal Authentication Framework)1.1に基づいたものはどれか。
- SaaS接続時の認証において、PINコードとトークンが表示したワンタイムパスワードとをPCから認証サーバに送信した。
→利用者の認証をローカルで行うため、認証情報は認証サーバに送信されません。 - SaaS接続時の認証において、スマートフォンで顔認証を行った後、スマートフォン内の秘密鍵でディジタル署名を生成して、そのディジタル署名を認証サーバに送信した。
→正解 - インターネットバンキング接続時の認証において、PCに接続されたカードリーダを使って、利用者のキャッシュカードからクライアント証明書を読み取って、そのクライアント証明書を認証サーバに送信した。
→クライアント証明書は認証サーバに送信されません。 - インターネットバンキング接続時の認証において、スマートフォンを使い指紋情報を読み取って、その指紋情報を認証サーバに送信した。
→利用者の認証をローカルで行うため、認証情報は認証サーバに送信されません。