FIDO2

FIDO2は、パスワードを使わずに安全にログインするためのしくみです。FIDO（Fast IDentity Online）という国際的な規格の最新版で、世界中の企業やサービスで採用が進んでいます。

これまで多くのWebサービスは、IDとパスワードで本人確認を行ってきました。しかし、パスワードは覚えにくく、つい簡単なものを使い回してしまうこともあります。その結果、パスワード漏えいによる不正アクセスやアカウント乗っ取りが後を絶ちません。

FIDO2では、パスワードの代わりに「公開鍵暗号方式」を使います。まず、利用者の端末やセキュリティキー（専用のUSBやNFC、Bluetooth機器）に秘密鍵を作成して安全に保管します。Webサービス側には、秘密鍵ではなく公開鍵だけを登録します。ログイン時には、端末やキーが秘密鍵を使って署名を行い、その署名が公開鍵で正しいと確認できれば認証が完了します。

この方法の大きな特徴は、秘密鍵が利用者の端末から外に出ないことです。仮にサービス側のデータベースが流出しても、秘密鍵は盗まれません。また、利用者は指紋や顔認証、PINコードなど、端末側で設定した方法で認証できます。パスワードを覚える必要はありませんし、オリジン（ドメイン）を検証するためフィッシング詐欺への耐性が高いことも特徴です。

FIDO2は、WebAuthn（Web Authentication API）とCTAP2（Client to Authenticator Protocol 2）という2つの技術仕様で構成されています。WebAuthnは、ブラウザやWebサービスが公開鍵を使った認証を行うためのしくみ。CTAP2は、端末とセキュリティキーがやり取りするためのプロトコルです。

今後、パスワードに依存しない認証方式はさらに広がっていくでしょう。パスワードの弱点を克服し、より安全で便利なログイン体験を実現するFIDO2は、その大きな一歩になるのではないでしょうか。