U2F と UAF のセキュリティ標準を比較する

U2F (Universal Second Factor) は、追加の外部ハードウェア (USB、ブレスレットなど) を使用する 2 層認証セキュリティ標準であるため、電子メールや電話番号を介してコードを送信するよりも安全性のレベルが高くなります。今日、LuckyTemplates は、この新しい形式のセキュリティの基本を学び、UAF 標準 (Apple や Samsung デバイスの指紋センサーと同様) と比較するのに役立ちます。

U2Fの紹介

2 層セキュリティは、重要なオンラインアカウントを保護するための基本的な方法です。それは、電子メールアカウント、クラウドストレージアカウント、オンラインバンキングアカウント、または会社の内部 Web サイトにログインするためのアカウントである可能性があります。通常、2 層セキュリティをサポートするアプリケーションまたはサービスでは、次の手順でログインする必要があります。

U2F と UAF のセキュリティ標準を比較する

ログインする必要がある Web サイト/サービスを開き、通常どおりユーザー名とパスワードを入力します。
その後、認証コードはさまざまな方法で送信されます。SMS、電子メール、電話によるコードの読み取り、または特殊なアプリの使用などがあります。
認証コードを入手したら、そのコードを Web サイト/サービスに入力し続けて、正常にログインします。

基本的に、セキュリティの 2 番目の層は、ログイン情報がすべて公開された場合でも、アカウントへの不正アクセスを防ぎます。たとえば、銀行の Web サイトにアクセスするためのユーザー名とパスワードを知っている人は、認証コードを取得することはできません。認証コードはあなたの電話にのみ送信されるか、電子メールにのみ送信されるためです。その結果、彼は引き続きその Web サイトの外に留まり、それ以上何もできなくなり、せいぜい残高の詳細をいくつか表示することはできますが、送金取引を行うことはできません。

もちろん、彼が携帯電話を盗んだり、電子メールアカウントへのログイン方法を知っていたりすれば、話は別になります。今日、多くの人が多くの Web サイトやオンラインサービスで同じ電子メールパスワードを使用しているため、悪意のある者がメールボックスにアクセスして 2 層のセキュリティコードを入手する可能性があります。この時点で、2 層セキュリティメカニズムの利点は完全に失われます。

同様に、電話も非常に簡単に盗まれ、SMS を開いて 2 層のセキュリティコードを確認することができます。盗まなくても、ロック画面に通知が表示されると、悪者は携帯電話に送信された認証コードを見ることができます。とても簡単なことですが、非常に危険ですよね？

U2F はこれらの制限を解決するために生まれました。 U2F はハードウェアを使用して認証コードを作成するため、誰かがメールボックスをハッキングしたり、携帯電話を盗んだりしても心配する必要はありません。ログインはそのハードウェアが存在する状態で行う必要があり、リモートからのハッキングや侵入はできないため、多くのリスクが軽減されます。現在最も人気のある U2F ハードウェアは USB メモリペンです。非常にコンパクトなサイズなので、どこへでも簡単に持ち運べます。将来的には、指輪、ネックレス、ブレスレット、鍵、その他数十もの形状の U2F デバイスを製造する企業がさらに増えるでしょう。

U2F は、Google、Microsoft、PayPal、American Express、MasterCard、VISA、Intel、ARM、Samsung、Qualcomm、Bank of America などの大企業を含むFIDO ( Fast IDentity Online )と呼ばれるアライアンスによって開発されています。今年 6 月の時点で、FIDO にはさまざまな国から 200 名の会員がいます。 FIDO は現在、ハードウェアからソフトウェアに至るまで U2F の推進に非常に積極的であり、将来的にはあらゆる場所に登場するでしょう。

動作原理

Gmail などのオンラインサービスにログインする必要がある場合は、通常どおりユーザー名とパスワードを入力する必要があります。次のステップでは、U2F 互換 USB ドライブをコンピュータに固定するように求められます。 Chrome ブラウザはデバイスの存在を即座に検出し、暗号化テクノロジーを使用してデバイスからデータを取得します ( USB ドライブのボタンを押す必要があります)。 Chrome は引き続きデータが正しいかどうかを確認し、問題がなければ Gmail にログインします。

最初のステップでユーザー名とパスワードを入力する必要があるのは、誰かがキーを盗むだけでアカウントに侵入するのを防ぐためです。それは「2 クラス」であるため、これも当てはまります。そうでない場合は、1 クラスと同じになります。

Chrome が情報を認証するプロセスでは、安全性を確保するために実際に多くのことが行われます。まず、ブラウザは https プロトコルを介して実際の Web サイトと通信しているかどうかを確認します。これは、偽の Web サイトで 2 層セキュリティを使用する状況を回避するのに役立ちます。次に、ブラウザは USB ドライブから取得したコードを Web サイトに直接送信するため、理論上、データの転送中に攻撃者がこのコードを取得することはできません。

U2F の設定によれば、通常のように完全なパスワードを入力することに加えて、Web サイトでは短い PIN コードを入力し、USB デバイスのボタンを押してログインを続行するオプションも提供されます。こうすることで、パスワードの記憶が簡素化されるだけでなく、(入力する文字数が減るため) サービスの使用時間をさらに節約できます。

どの Web サイトが U2F をサポートしていますか?

この記事の執筆時点では、U2F を公式にサポートしている Web サイト、サービス、ソフトウェアは多くありません。 Chrome は現在、U2F を統合する唯一のブラウザであり、Windows、Mac、Linux、および Chrome OS で利用できます。 Firefox と Edge は統合中ですが、いつ完了するかは不明です。 U2F を使用している Web サイトには、Google、Dropbox、Github の Web サイトなどがあります。将来的には、U2F をサポートする主要な Web サイトがさらに増えることを願っています。

U2F と UAF のセキュリティ標準を比較する

また、上で述べたように、U2F を使用するには特別な USB ドライブを使用する必要があり、手元にある USB ドライブをすぐに持ち出すことはできません。これらのドライブは Google や Amazon で見つけることができ、キーワードFIDO U2F Security Keyを使用して検索できます。価格は数ドルから数十ドルの範囲です。現在、このタイプの USB はベトナム市場では販売されていません。

U2F USB ドライブをすでに購入していると仮定すると、Google の 2 層セキュリティ構成ページに移動し、Web の指示に従って使用を開始できます。

UAFはどうですか？

UAF ( Universal Authentication Framework ) も FIDO 自身が開発した別のログイン標準ですが、パスワードは必要ありません。このため、UAF はパスワードレスエクスペリエンスとも呼ばれます。 UAF では、ユーザーのデバイス上に存在し、ローカルに送信されない認証方法が必要です。ローカル認証方法の例には、指紋センサー、虹彩センサー、顔認識、さらには音声認識用のマイクの使用などがあります。オンラインサービスに登録した後、ユーザーはログインする必要があるたびに、センサー上で指をスキャンするか、カメラに顔を近づけるだけです。

UAF は、Apple が App Store へのログインを支援するために Touch ID センサーを使用する方法、または Samsung が Note 4、Note 5、S6、S6 Edge の指紋センサーを使用してユーザーを支援する方法を想像することができます。パスワードを入力せずに購入できます。認証が必要な場合は、センサーに指を置くだけで、他のすべてが自動的に行われます。

U2F と UAF のセキュリティ標準を比較する

UAF は、標準化されているという点で Apple や Samsung のソリューションとは異なります。そのため、どの Web サイトやアプリケーションでも、最初から行う必要がなく、プラットフォームやオペレーティングシステムに依存しなくても、この種のセキュリティを迅速かつ簡単に実装できます。これにより、UAF の魅力がさらに高まり、より多くのサービスで使用されるようになり、より多くのユーザーに大規模にリーチできるようになります。

UAF では、PIN またはパスワードとローカルセキュリティを組み合わせて使用することもできますが、その場合、エクスペリエンスは真のパスワードレスではなくなり、2 層のセキュリティになります。

指紋や音声サンプルなど、UAF 標準に対する認証に使用されるデータは常にデバイスのみに存在し、もちろん慎重に暗号化されます。これらの機密データは、ハッカーによって盗まれる危険があるため、外部に公開してはなりません。