Fast IDentity Online(FIDO)アライアンスは、異なるプロバイダー間でパスキーの安全な転送を可能にすることを目的とした新しい仕様の作業草案を発表した。
パスキーとは、公開鍵暗号方式を活用したパスワード不要の認証方法で、長い文字列を覚えたり管理したりすることなくユーザーを認証することができる。
FIDOの報告によると、サインインはパスワードベースの認証よりも75%速く、20%成功しており、この新技術の利点を強調している。
便利でフィッシングにも強いが、パスキーの大きな課題の1つは、異なるプラットフォームやサービス・プロバイダー間でパスキーを安全に転送する方法がないことだ。
例えば、GoogleのPassword Managerでパスキーを作成したユーザーは、デバイスを変更する際にアップルのiCloud Keychainにパスキーを安全に転送することができず、一種の「ベンダーロックイン」、あるいは「デバイスロックイン」の状況を生み出していた。
そのため、パスキーは自由度を高める代わりに、ユーザーエクスペリエンスに不要な分断を生み出し、異なるプラットフォームに移植しようとする際にセキュリティリスクをもたらしていた。
パスキーの移植性の標準化
FIDOが提案する新しい仕様は、本質的に、クレデンシャル転送のための広く受け入れられた安全な標準の欠如に対処し、プロバイダ間で切り替える際の複雑さや実用的な制限を排除するものである。
この仕様は、クレデンシャル・エクスチェンジ・プロトコル(CXP)とクレデンシャル・エクスチェンジ・フォーマット(CXF)という2つの別々のドラフトで示されている。
CXP は、Diffie-Hellman 鍵交換とハイブリッド公開鍵暗号化(HPKE)を使用して、異なるプロバイダ間でクレデンシャルを安全に転送する方法を定義する。
CXFは、移行中にプロバイダー間でクレデンシャルを安全に転送するための標準化された構造を定義し、相互運用性とデータの整合性を確保する。提案されているフォーマットには、ZIP内のJSONが含まれ、各部分はCXPの規定に従って暗号化されている。
ドラフトは、FIDOアソシエートメンバーやDashlane、Bitwarden、1Password、NordPass、Googleなどのステークホルダーの専門家の貢献によって開発された。
FIDOアライアンスは、グーグル、マイクロソフト、アップル、ビザ、マスターカード、ペイパル、インテル、サムスン、メタ、アマゾンなどの技術分野のリーダーで構成されており、新しい仕様が、今日120億以上のオンラインアカウントを保護するために使用されているパスキーの普及を促進することを期待している。
提案されている仕様は現在草案であり、変更される可能性がある。
仕様策定への参加に興味のある方は、このGitHubページを通じてフィードバックを提供することができる。草案が固まるまで、追加や変更を反映して徐々に更新される予定だが、現時点ではそのスケジュールは示されていない。
Comments