さっさとFIDO化してほしい
単なる愚痴。
C89でFIDO U2Fについて、調べつつ書いた。
https://techbooster.booth.pm/items/178228
ひとことで言うと「さっさとOTPとか言うクソ文化消えてしまえ、といえるぐらい、FIDOは将来、認証を楽にするだろぅ」という話を憶測混じりに書いた。
この時に検証で買った指紋認証付きFIDO U2Fデバイスは、デバイスとしては本当に「不完全」だが、未来を強烈に感じさせるデバイスとして、私の机の上に転がしてある。しかも実用されている。
机の上に転がしっぱなしで、仕舞う気にならない。良いのだ。
時々Google様がWeb認証で「2段階目もやれよぅ(´・ω・`)」と言ってきた時、この机で作業している時にはOTPなんぞ使わない。そのデバイスで指紋をスキャンするだけだ。Dropboxでも事情は同じだ。
Web上での実装パターンが一通り固まってきているおかげで、2要素目の認証方式でOTPとFIDO U2Fを両方登録してあって不都合が起きるケースはない。
くだんのFIDO U2Fがあれば話は早い。指紋認証めで2要素目は通る。おしまい。
FIDO U2Fのデバイスがなければ、仕方ない、自分はわざわざスマホを取り出してOTPアプリを起動して12個に及ぶOTPから適したものを目で探しだしてキーボードにぱちぱち打ち込む。この未来は上の記事にも書いた。OTPをWebサービス各社がサポートすれば、OTP管理はくどくクソのようなものになるのは予想できる。そのうちこのOTPの群れは一人あたり30に膨れる。ポイントカードみたいなもんだ。
#調べてみたら上記同人誌の記事執筆時点では「6個」だった。半年で二倍だ。
U2Fで上のようなことは、ない。
ない。
技術上、一つのデバイスで異なる秘密鍵を自動生成し、安全に2要素認証めを通り越す。二人いれば二人に違う秘密鍵を割り当てる。同じデバイスでも良いのだ、1段階目で識別されたユーザが違うとき、ハードウェアは別の鍵を使うことを、FIDOのハードウェアは選べる。
# ここまではYubiKeyや飛天のデバイスですぐに出来る未来だ。
# 加えて上の「指紋認証付きU2Fデバイス」が個人的にお気に入りになったのは、YubiKeyと違って机の上に転がしておいても、脅威が減じられる、ということだ。他のやつはこのデバイスは一切使えない。YubiKeyは盗まれると使われるし、Slotをロックしとかないと転売も出来る。
記事を書いた直後くらいにFIDO 2.0についての仕様が公開され、議論と技術はもうその時点で、自分の理解の半年分先くらいに進んでいた。さすがであった。
そのうちPCブラウザの2要素目の認証はスマホの指紋認証になる。本当にそれがFIDOの目指すところであり、下手をすれば条件によっては1要素目がそうなる。少し極端に言うと、「オフィスに戻ってiMacの前に立ち、Android端末の指紋認証を通すと、iMacがアンロックされる」が、Apple独自仕様ではなく公開の仕様にもとづいて実現する。
ところで、国産Webサービスとそれを使う「先進的」な人は、セキュリティを意識していることを誇示するのにOTPを導入し始め、私のOTPアプリ内に、もりもりOTPの登録が増え続けている。
おーい。それではすでに1周〜2周の周回遅れなんだってば……。
上の愚痴で、もし半年前にどういうことを私が考えていたかを知りたければ、上の同人誌を読もう。2年後には流石に当たり前になっていると思うし、その頃には雑誌で著名人による連載記事がスタートするはずだ。
C89でFIDO U2Fについて、調べつつ書いた。
https://techbooster.booth.pm/items/178228
ひとことで言うと「さっさとOTPとか言うクソ文化消えてしまえ、といえるぐらい、FIDOは将来、認証を楽にするだろぅ」という話を憶測混じりに書いた。
この時に検証で買った指紋認証付きFIDO U2Fデバイスは、デバイスとしては本当に「不完全」だが、未来を強烈に感じさせるデバイスとして、私の机の上に転がしてある。しかも実用されている。
机の上に転がしっぱなしで、仕舞う気にならない。良いのだ。
時々Google様がWeb認証で「2段階目もやれよぅ(´・ω・`)」と言ってきた時、この机で作業している時にはOTPなんぞ使わない。そのデバイスで指紋をスキャンするだけだ。Dropboxでも事情は同じだ。
Web上での実装パターンが一通り固まってきているおかげで、2要素目の認証方式でOTPとFIDO U2Fを両方登録してあって不都合が起きるケースはない。
くだんのFIDO U2Fがあれば話は早い。指紋認証めで2要素目は通る。おしまい。
FIDO U2Fのデバイスがなければ、仕方ない、自分はわざわざスマホを取り出してOTPアプリを起動して12個に及ぶOTPから適したものを目で探しだしてキーボードにぱちぱち打ち込む。この未来は上の記事にも書いた。OTPをWebサービス各社がサポートすれば、OTP管理はくどくクソのようなものになるのは予想できる。そのうちこのOTPの群れは一人あたり30に膨れる。ポイントカードみたいなもんだ。
#調べてみたら上記同人誌の記事執筆時点では「6個」だった。半年で二倍だ。
U2Fで上のようなことは、ない。
ない。
技術上、一つのデバイスで異なる秘密鍵を自動生成し、安全に2要素認証めを通り越す。二人いれば二人に違う秘密鍵を割り当てる。同じデバイスでも良いのだ、1段階目で識別されたユーザが違うとき、ハードウェアは別の鍵を使うことを、FIDOのハードウェアは選べる。
# ここまではYubiKeyや飛天のデバイスですぐに出来る未来だ。
# 加えて上の「指紋認証付きU2Fデバイス」が個人的にお気に入りになったのは、YubiKeyと違って机の上に転がしておいても、脅威が減じられる、ということだ。他のやつはこのデバイスは一切使えない。YubiKeyは盗まれると使われるし、Slotをロックしとかないと転売も出来る。
記事を書いた直後くらいにFIDO 2.0についての仕様が公開され、議論と技術はもうその時点で、自分の理解の半年分先くらいに進んでいた。さすがであった。
そのうちPCブラウザの2要素目の認証はスマホの指紋認証になる。本当にそれがFIDOの目指すところであり、下手をすれば条件によっては1要素目がそうなる。少し極端に言うと、「オフィスに戻ってiMacの前に立ち、Android端末の指紋認証を通すと、iMacがアンロックされる」が、Apple独自仕様ではなく公開の仕様にもとづいて実現する。
ところで、国産Webサービスとそれを使う「先進的」な人は、セキュリティを意識していることを誇示するのにOTPを導入し始め、私のOTPアプリ内に、もりもりOTPの登録が増え続けている。
おーい。それではすでに1周〜2周の周回遅れなんだってば……。
上の愚痴で、もし半年前にどういうことを私が考えていたかを知りたければ、上の同人誌を読もう。2年後には流石に当たり前になっていると思うし、その頃には雑誌で著名人による連載記事がスタートするはずだ。