令和6年秋期試験問題 午前Ⅱ 問7
問7解説へ
あるIdP(Identity Provider)は,パスキー(Passkey)認証をサポートしており,利用者Aは,このIdPのFIDO認証器として,自分のスマートフォンの生体認証機能を登録してある。また,WebサーバBは,このIdPを使ってログインが可能である。利用者AのWebブラウザからWebサーバBにアクセスする際,利用者Aの生体情報を受信するもの,受信しないものの組合せのうち,適切なものはどれか。
正解 ア問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
中分類:セキュリティ
小分類:情報セキュリティ
広告
解説
FIDO(Fast Identity Online:ファイド)は、業界団体のFIDOアライアンスが策定しているパスワードレス認証の方式です。従来のパスワードに依存した認証に代えて、公開鍵暗号方式を使用したパスキーと呼ばれる認証資格情報による安全な認証を提供します。パスワード認証との比較で、❶パスワードを記憶しておく必要がないので利便性が高い、❷サーバに認証情報を保存しないので漏えいしても安全、❸デバイスのロック解除に使用するのと同じ方法(生体認証、PIN、またはパターン)でWebサイトやアプリにログインできる、といった特徴があります。
FIDO認証の構成要素は、FIDOサーバ、RPサーバ、クライアント、認証器の4つです。
FIDO認証(FIDO2)の手順は次のとおりです。
FIDO認証の構成要素は、FIDOサーバ、RPサーバ、クライアント、認証器の4つです。
- FIDOサーバ … 認証要求と結果を管理する
- RPサーバ … FIDOサーバに対して認証を求める(Webサーバなど)
- クライアント … Webブラウザやアプリケーション
- 認証器 … 利用者のデバイス上で認証を行うモジュール
FIDO認証(FIDO2)の手順は次のとおりです。
- 認証器で公開鍵/秘密鍵の鍵ペアを作成し、ユーザー情報と公開鍵をFIDOサーバに登録しておく
- クライアントは、RPサーバにログインを要求する
- RPサーバは、FIDOサーバに認証を求める
- FIDOサーバは、チャレンジとオリジン(サーバのURL情報など)を含む認証要求をクライアントに送付する
- クライアントは利用者に認証器での認証を求める
- 利用者は、認証器で生体認証またはPIN認証を行う
- クライアントは、認証情報とチャレンジ、オリジンを合成したものに秘密鍵で署名し、FIDOサーバへ返す
- FIDOサーバは、認証器の公開鍵を利用して署名を検証する
- FIDOサーバは、認証結果をRPサーバに返す
広告