AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 62
ストーリー by headless
認証 部門より
認証 部門より
Apple と Google、Microsoft は 5 日、FIDO Alliance と W3C が策定したパスワードレスサインイン標準のサポート拡大を共同でアナウンスした
(プレスリリース、
The Verge の記事、
Ars Technica の記事、
VenturBeat の記事)。
パスワードのみを使用する認証はウェブのセキュリティで最大の問題の一つであり、多数のパスワードを管理するのは消費者の負担が大きく、しばしば異なるサービスでのパスワード再利用につながる。標準ベースのパスワードレス認証ではデバイスのアンロック操作と同様に指紋や顔、PIN による簡単な確認処理を用い、レガシーな多要素認証よりも大幅に高いセキュリティを実現するという。3 社のプラットフォームではすでにパスワードレス認証が実装されているが、従来の実装ではデバイスごとにウェブサイトやアプリにそれぞれサインインするまでパスワードレス認証が利用できなかった。
今回のアナウンスでは各プラットフォームの実装を拡張し、よりシームレスでセキュアなパスワードレスサインインを実現する 2 つの新たな機能追加を以下の通り発表している。
パスワードのみを使用する認証はウェブのセキュリティで最大の問題の一つであり、多数のパスワードを管理するのは消費者の負担が大きく、しばしば異なるサービスでのパスワード再利用につながる。標準ベースのパスワードレス認証ではデバイスのアンロック操作と同様に指紋や顔、PIN による簡単な確認処理を用い、レガシーな多要素認証よりも大幅に高いセキュリティを実現するという。3 社のプラットフォームではすでにパスワードレス認証が実装されているが、従来の実装ではデバイスごとにウェブサイトやアプリにそれぞれサインインするまでパスワードレス認証が利用できなかった。
今回のアナウンスでは各プラットフォームの実装を拡張し、よりシームレスでセキュアなパスワードレスサインインを実現する 2 つの新たな機能追加を以下の通り発表している。
- 新しいデバイスを含むユーザーが所有する多数のデバイス上で、各アカウントへの再エンロールを必要とすることなく、自分の FIDO サインイン情報 (パスキーとも呼ばれる) への自動的なアクセスを可能にする
- ユーザーがモバイルデバイスで FIDO 認証を用い、近くにあるデバイスで OS プラットフォームやブラウザーの種類にかかわらずアプリやウェブサイトにサインインできるようにする
これらの機能は来年 1 年をかけて利用可能になっていくとのこと。
5 月の第 1 木曜日は World Password Day であり、今年は 5 日がそれにあたる。そのため、Google と Microsoft は共同アナウンスと別にパスワードレス化への取り組みを発表している
(The Keyword の記事、
Microsoft Security Blog の記事、
Azure Active Directory Identity Blog の記事)。
その前にやって欲しい事 (スコア:1)
要は個人情報収集手段の3社共有化ね (スコア:0)
セキュリティ重視というよりは、本当の狙いが透けて見えるような気がする。
こんなの規制すべきではないだろうか。
Re:生体認証もサポートしてくれりゃ (スコア:1)
まぁ、仕組みも含め調べもしない無知な人間だと「要は個人情報収集手段の3社共有化ね」と思うのも無理はないとは思ってます。
が
あまり無知を公にさらさないほうが言いと思います。(どMならいいけど
Re: (スコア:0)
横からだけどそういうことだと思うよ・・・
スマホに生体認証を保存して管理。(秘密鍵はgoogleやappleがクラウド管理)
PCでWEBサイトにアクセスするときにスマホの生体情報を使った二段階認証をする。(秘密鍵はmicrosoftやappleがクラウド管理)
スマホを紛失してもクラウドだから秘密鍵更新するから不正アクセスされず安心。
もちろん各WEBサイトは三社が扱うAPIを通してログイン処理するから、そういう情報もわたる。
こういうのって三社共有化するということじゃないのかな?
Re:生体認証もサポートしてくれりゃ (スコア:3)
誰も使ってないですがこのFIDOという仕組み自体は割と前からあって、まったくの新規開発ではないです。パスワードを暗号化して送る代わりに、初回は公開鍵認証で端末が持っている秘密鍵とサイトのペアリング動作のようなことを一回やり、以降そのペアリングされた認証機器(フリーソフトを書き込んだArduinoなりTouch IDなり)の操作でログイン承認ができるという仕組みです。
この時、生体認証は認証機器側で認証トークンを送出して承認してよいという意思確認に使われる(使ってもよい)だけなので、手段は別に40bitのパスワード手打ちでも瞬間接着剤で固めてある承認ボタンの押下確認でもなんでも構いません。また、脅威モデルにはよりますが、認証機器は秘密鍵を工場で書き込んであっても構いませんし、内部のソフトの工夫でサイトごとに使い分けていても、全個体で同じ固定値を使い回していても規格上は構いません。
Apple, Google, Microsoftが乗り出しているのは最近流行りの"物理信頼根"戦争も関わるでしょうし、確かにクラウドで個人情報を集めて儲けるという観点もあるでしょうが、割と{サイト名, ユーザID, パスワード}の組をユーザが覚えてくれないことに実務上の問題があるのではないかと思います。どうも"ユーザIDとパスワードは、組である"とか"パスワードは、教えてはいけない"くらいのことは分かる人が多いんですが、いざ会員登録とかログイン画面が提示されると、{サイト名, パスワード}とか{ユーザ名, パスワード}とか{サイト名, ユーザ名}とか、何とかして{公開情報, 認証情報}の2キーのペアで済ませようとする人が多いようなんですよね。あるいは、利用者の方では「われは、われである」としか思っておらず、ユーザIDという概念が分からないのかもしれませんが。
# ユーザID入力欄に「メールアドレス」(! = String("ユーザID"))って書かれてるともうダメらしい
Re: (スコア:0)
そんな戦争ねーよバーーカ
Re:生体認証もサポートしてくれりゃ (スコア:2)
えーなんかみんなお金出してるじゃないですかあの製造技術取得の演習みたいなやつ。
Re: (スコア:0)
造語症の人は触れないが吉
Re: (スコア:0)
こういう報道も出てる。再設定不要ですぐに利用を再開できるのだから、これは秘密鍵がクラウド側にないとできないと思う。
標準規格ではクライアント管理とされていても、(スマホのデータはクラウドに同期されるから)実際の運用ではクラウドということになるんじゃないの?
> スマートフォンを紛失したり壊したり盗まれたりした場合でも、パスキーはクラウドバックアップから
> 新しいスマートフォンに同期されるため、再設定不要で、すぐに利用を再開できるとしている。
https://news.yahoo.co.jp/articles/5e6d8df890620198c4ad8c21b89d8075a485ffa6 [yahoo.co.jp]
Re: (スコア:0)
クラウド側に秘密鍵がなくても同期でき、利用再開もできる。
ものすごく簡単に言うと「スマホの中に認証サーバがある」のが特徴で、そこに秘密鍵が入っている。
ユーザーが指紋を読み取ったときスマホの中で認証されるけど、
その本人を特定するためのハッシュ情報(パスキー)がクラウド同期される。
他人がパスキーを盗んだとしても、
本人の指紋が無ければスマホ内で認証が通らないからログインできない。
Re: (スコア:0)
ハッシュ情報しかバックアップされていないのに端末故障しても復旧できるメカニズムが分からないな
Re: (スコア:0)
ユーザーがパスワード覚えてればローカル側で復旧できるみたいな話じゃないかな。
サーバレスみたいな。
Re: (スコア:0)
ああいまどき普通の人はスマホもパソコンも複数台もってるからだいじょうぶでしょみたいな。
Re:生体認証もサポートしてくれりゃ (スコア:2)
そのパスワードを生体認証装置で都度生成すればいいんじゃないでしょうか。つまり、Aさんの右人差し指を認証装置一号で撮影すると必ず常に絶対0x1234...5678が返ってきて、更にその他人受入率は一億万ぶんの1である、とすると、その0x1234...5678はパスワードとして使えるでしょう。
Re: (スコア:0)
使えない。常に右手に手袋している人ならともかく。
Re:生体認証もサポートしてくれりゃ (スコア:1)
// などと言われたらちょっとヒく
Re: (スコア:0)
どうして二次ソースを(誤ったことを書いていないと)信用してプレスリリースを読まないの?
クラウドバックアップなんて一言も書いていないよ?
少なくとも、疑問に思った事を調べもしないで結論を出すのはやめるべきだね。
生体情報の取り扱い方法は公開されていて、例えばAppleで生体認証といえば TouchID(指紋認証) [apple.com]、FaceID(顔パス) [apple.com]だけど、
どちらにも生体情報から生成された情報をクラウドにはバックアップしないと明記されている。
記者が誤っているか企業が嘘をついている可能性があるわけで、記事の内容を鵜吞みにできないのはわかるはず。
で、プレスリリースを辿
Re: (スコア:0)
全然わかってないじゃん。
従来の認証システムはパスワードという名の秘密鍵をWEBサイトごとに生成していた。
パスキーの認証システムはひとつの秘密鍵を生成するだけで済ますというもの。ひとつで済ます部分をうまくやってるだけ。
本質的にはどっちも同じで、秘密鍵を紛失したらログインできなくなる。
Re: Re:生体認証もサポートしてくれりゃ (スコア:2)
まず秘密鍵の意味を調べましょう。
そして今回のmulti-device FIDO credentialsはまさに「秘密鍵を紛失したらログインできなくなる」というリスクを減らすための取り組みです。
Re: (スコア:0)
ホワイトペーパー [fidoalliance.org]によると既存のパスワード方式と同様に秘密鍵はOSプラットフォームよって同期されて、そのセキュリティはOSプラットフォーム依存とある。≒クラウド管理だ。
Just like password managers do with passwords, the underlying OS platform will “sync”
the cryptographic keys that belong to a FIDO credential from device to device. This means that the security
and availability of a user’s synced credential depends on the security of the underlying OS platform’s
(Google’s, Apple’s, Microsoft’s, etc.) authentication mechanism for their online accounts, and on the
Re: (スコア:0)
逆に聞きたいんですが、
顔や指紋ってオンリーワンのパーツですよね
それ使ってサインインするなら、三者で鍵が共通ならば紐付けが容易になると解釈しても良いのではないでしょうか
いくらそれらがデバイス内での保存で完結するとしても、Aさんの指紋=hogehogeのログインキーって紐付けられてる時点で個人の行動を追跡できますよね
Re: (スコア:0)
指紋情報はクラウドにもどこにも送信されないから名寄せは不可能だよ。
Re: (スコア:0)
生態認証情報を集めるのではなく、同一生態認証(成りすまし出来ない)されたデバイスのアクセスを名寄せしたいんじゃないのかな。
Re: Re:生体認証もサポートしてくれりゃ (スコア:2)
「どうせ公開鍵をお漏らしさせまくるんだろう(鍵のペアが頻繁に更新されない場合、公開鍵を要求するWeb広告を作ったり、公開鍵でBanしたりできるかもしれない)」という批判ならわかるけど、複数端末の紐付けは容易にはならない。
Re: Re:生体認証もサポートしてくれりゃ (スコア:2)
書き漏らしたが、FIDOキーを複数持ったり使い分けたりするのは(サービス提供側に制限されない限り)自由なので、そういう風にして特定を避けることは可能。尤も、他にもフィンガープリンティングの手法は色々あるので、これだけを恐れるのはナンセンスかも知れないが。
Re: Re: Re:生体認証もサポートしてくれりゃ (スコア:2)
あー読み直すといつも以上に怪文書になってるな。これからは眠い時にコメントしません。失礼しました。
Re:生体認証もサポートしてくれりゃ (スコア:1)
「hogehogeさんがログインしたのはあの端末とこの端末」という情報で行動を追跡できるという話なら、生体認証ではなくパスワードによるログインでも同じこと。
なりすましの可能性は減るけど、それによって紐づけが容易にはならないと思う。
複数の人がアカウントを共有していて、それができなくなる程度ならありうるけど。
Re: (スコア:0)
まさに、それだな。
複数デバイス持ちのユーザートラッキングが簡単になる。
例えば、銀行アクセス用の端末と普段利用のデバイスを別けているユーザーとかね。
あの3社が善意だけで行動する等、とても考えられないな。
Re: (スコア:0)
訳: 私も知らないので詳しい人はタダで詳しい情報を書いたコメントぶら下げてください
Re:要は個人情報収集手段の3社共有化ね (スコア:1)
https://www.dds.co.jp/ja/topics/9736/ [dds.co.jp]
面倒くさいから基本はこれよんでねなんだけど
簡単に言えば従来は「パスワード」っていう秘密キーを各サービス毎に登録していた訳よ
これからは、秘密鍵は手元に置いておいて公開鍵を各サービスに登録しておいて手元のFIDO認証キー(物理キーであったりスマホであったりWindowsPCだったり)から
秘密鍵を使って署名を作って、サービス側に登録してある公開鍵で署名検証してログイン処理すんの
なんかこれを勘違いしてる奴いるんだけどFIDOキーは紛失に備えて複数持っておくのが当たり前で別にサービス毎にFIDOキーと使い分けたっていい
俺は私的キー(私的GoogleやTwitter、MS用)が4個(持ち歩き、自宅金庫、銀行貸金庫、実家)、仕事(副業)用キーが4個(持ち歩き、自宅金庫、銀行貸金庫、実家)で
iPhoneとかAndroid、WindowsもFIDOキーの用に動作するパターンあるし自覚してないだけでFIDO認証は広まっていてこれから更に拡大するよってだけ
公開鍵は別に個人情報とは紐付かないしアカウント特定に使われるだけでしかない
わかったかのように話すの恥ずかしいからやめておきな
Re: (スコア:0)
パスワードが一元管理されるから捜査機関が吸出しやすくなるやつに見えてきた。FIDOキーは紛失に備えて複数持っておくのが当たり前とあるけど、このサービスでは紛失に備えてサーバー保管だろうし、そこではおそらく暗号化されているだろうけど本人以外の誰が復号できるかわかったものじゃない。
Re: (スコア:0)
パスワードで保護されているようなウェブサービスはホスト側に法的・不法的に侵入されたらどっちみちデータは全部抜かれることになるなので、そこまでパラノイアに取り憑かれておられるのならオンラインサービスなどすべて使用拒否した方がいいよ。
Re: (スコア:0)
パスワードが一元管理というか
認証キーを証拠品として押収した上で使って良いのかどうか?はまた別な問題だと思うよ
多分日本だと通るけど指紋認証必要なタイプだとアメリカとかだと微妙な気がする
このサービスもFIDO認証使うっていってるんだから同じだよ
BTで端末間の移動しやすさとかを実装していくっていうだけ
尚且つ、耐タンパ性とかiPhoneのセキュリティチップの実装とか調べてこいTPMが何なのかとかそう言う部分を調べてこい
っていうか、現状のアカウント情報の方が余程簡単に抜き出せるわ
Re: (スコア:0)
> 且つ、耐タンパ性とかiPhoneのセキュリティチップの実装とか調べてこいTPMが何なのかとかそう言う部分を調べてこい
こういう謎の上から目線コメント見るたびに
って知ったかぶってたアホ [srad.jp]思い出して笑ってしまう
Re: (スコア:0)
どこを縦読みしたらそうなるんだろう……
斜に構えすぎて認知おかしくなってんね
Re: (スコア:0)
加えて本人がログイン失敗したらアカウント永久凍結で人間の対応する受付がないっていうね
こっちも規制したほうがいい
Windowsの場合 (スコア:0)
でもMicrosoftアカウント必須なんでしょ?
Re: (スコア:0)
appleやgoogleも紐づいているアカウント必須にするでしょ。
何をそんなに忌避したいのかわからん。
Re: (スコア:0)
あまりにも予想通りのコメントすぎて草生える。誰もスマホの話などしてない
Re: (スコア:0)
お前がMSに殺されたのかはしらんので詳しく書け。
言いがかりにしか見えない。
Re: (スコア:0)
MacOS:事実上AppleIDないと使えない
ChromeBook:Googleアカウントないと使えない
Windows:MSアカウント必須かを目指している
なんでWindowsでだけどうこう言うのかがわからない
Re: (スコア:0)
まだ無事な領域だから。
他のプラットフォームはもう諦められてる状態。
Re: (スコア:0)
まっさきにお漏らししそうなのがApple
Re: (スコア:0)
ま、GoogleもMicrosoftも既にやらかしてるからね。
Appleはソーシャルハック(=リテラシーの低いユーザの問題)以外での漏洩はない。
複数デバイス(認証用) (スコア:0)
スマホ忘れると色々と困るから職場にもそういう用途に使えるデバイスを置きたい。
けどそういうことができるものを自分の管理下にない場所にあまり置きたくない。
うーん。
一方、企業の情シスは (スコア:0)
Windows Helloみたいなものは当然に禁止、ブラウザのパスワード記憶すら無効化して、
毎度毎度英数記号入りの長いパスワードを打ち込ませることが「セキュリティ」と考えているのであった。
Re: (スコア:0)
そしてモニタやキーボードに当たり前のように貼ってあるパスワードの付箋・・・
なんていうかこー・・・ (スコア:0)
勝手な思い込みの仕様で話し始める人って大丈夫なの?
騙されやすそうって感想しかないコメントばかりなんだけどさ
iPhoneのセキュリティもパスコードの入力がないとアクセス出来ないし
アクセス出来たらFaceIDとか使えるようになるでしょ
ああいうセキュリティチップだけの機能を取り出した物がFIDOキーで物理キーだったり論理キーだったりする
中に入っている認証局を使えるようにするのにそう言う処理が必要で耐タンパ性とかそういった物を保証されているんだけど
そういった物を一切合切調べないで「名寄せに使うに違いない!」とか最早陰謀論者とか反ワクチンと同じレベルでしかなくって
人間って知識がないと知能レベルも低下するんだなって例が多い
Re: (スコア:0)
srad三大嫌われものだからいくらdisっても許される空気になってるのよね。
いっそ俺たちはコイツラに一切関わらない世界に行くんだ!という意気込みを述べてほしい。LinuxにVivaldiにduckduckgoという組み合わせが幸せになるかは知らんが。
Re: (スコア:0)
GAFAMがない生活は地獄? [apple.srad.jp]