New FIDO proposal lets you securely move passkeys across platforms
2024/10/15 BleepingComputer — Fast IDentity Online (FIDO) アライアンスは、異なるプロバイダー間で Passkeys を安全に転送することを目的とした、新しい仕様の作業草案を発表した。Passkeys とは、公開鍵暗号方式を活用することで、従来からのパスワードに依存しない認証方法のことである。それによりユーザーは、長い文字列を記憶したり管理したりする必要がなくなる。
FIDO のレポートによると、新たに公開された仕様では、サインインがパスワード・ベースの認証よりも 75%も高速化し、その成功率は 20%向上するとのことだ。利便性が高くフィッシングにも強い Passkeys だが、異なるプラットフォームやサービス・プロバイダー間において、安全に転送する方法がないことが大きな課題となっている。
たとえば、Google の Password Manager で Passkeys を作成したユーザーは、デバイスを切り替える際に、それらのパスキーを Apple の iCloud キーチェーンに安全に転送することができず、ある種の “vendor lock-in” や “‘device lock-in’” の状況が生じていた。
そのため、Passkeys は、ユーザー・エクスペリエンスにおける、望ましくない断片化という問題をもたらし、異なるプラットフォームへの移行を試みる際にセキュリティ・リスクをもたらしていた。つまり、自由ではなく、不自由をもたらすという側面を持っていた。
Passkeys のポータビリティの標準化
FIDO が提案する、新しい仕様が本質的に解決するのは、広範なクレデンシャル転送のための安全な標準規格の欠如という問題であり、プロバイダー間の切り替えに伴う複雑さや実用上の制限を排除する。
FIDO が提案する新しい仕様は、広範なクレデンシャル転送のための安全な標準規格の欠如という問題を本質的に解決するものであり、それにより、プロバイダー間の切り替えに伴う複雑さや実用上の制限が排除される。
この仕様は、CXP (Credential Exchange Protocol) と CXF (Credential Exchange Format) という、2つの別個の草案で提示されている。
CXP は、Diffie-Hellman 鍵交換と HPKE (hybrid public key encryption) を使用して、異なるプロバイダー間において認証情報を安全に転送する方法を定義している。それにより、転送中のデータが保護される。
その一方で CXF は、移行中に プロバイダー間で認証情報を安全に転送するための、標準化された構造を定義しており、相互運用性とデータの整合性を確保している。提案されているフォーマットには、ZIP 内の JSON が含まれており、各部分は CXP で指定されているように暗号化される。
この新仕様の草案は、FIDO アソシエイト・メンバーの専門家や、Dashlane/Bitwarden/1Password/NordPass/Google といった、ステークホルダーたちのコントリビューションにより作成された。
FIDO アライアンスは、Google/Microsoft/Apple/Visa/Mastercard/PayPal/Intel/Samsung/Meta/Amazon といった、テクノロジー業界のリーダー企業で構成されている。現時点で 120億以上のオンライン・アカウントの保護に使用され Passkeys だが、この新しい仕様により、採用が促進されるものと期待されている。
現時点では、提案された仕様は草案の段階であるため、今後において変更される可能性も残される。
仕様策定への参加に関心のある場合は、この GitHub ページからフィードバックが可能である。この草案は、追加や変更を反映しながら徐々に更新され、最終案が確定するまで、そのループが続けられるが、現時点で時間的なスケジュールは提示されていない。
次のデファクトになりそうな Passkeys ですが、このポータビリティの問題が残っているようです。すべての大手ベンダーも乗ってきている様子なので、もう一息ということなのでしょう。そのためにも、FIDO の頑張りが欠かせません。よろしければ、Passkeys で検索と、FIDO で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.