web-dev-qa-db-ja.com

FIDO2トークンは、パスワードなしの認証で2要素として機能しますか?

認証要素として、私は次のことを知っています

  • あなたは(例えば、生体認証)
  • 持っている(例:USB)
  • ご存知(パスワードなど)

FIDO2認定の指紋リーダーを使用して、ユーザー認証が必要なオプション付きのパスワードなしの認証を行う場合、それを「あなたとあなたが持っている2要素認証」と呼ぶことはできますか?

FIDO2デバイスは内部に生体認証情報を持っています。サーバーに認証用の生体認証情報がない場合、それを生体認証と呼ぶことができますか?

1
Daichi

Fido2は単一要素または多要素にすることができます。 WebAuthn (FIDOのコンポーネント)Wikipediaページから:

「FIDO2オーセンティケーターは、単一要素モードまたは多要素モードのいずれかで使用できます。単一要素モードでは、オーセンティケーターは、通常、単純なボタンプッシュで構成されるユーザープレゼンス(TUP)のテストによってアクティブ化されます。 -factorモードの場合、オーセンティケーターはPIN(知っているもの)またはバイオメトリック(あなたが知っているもの)のいずれかによってアクティブ化されます。 "

その理由は、Fido2はサーバーからクライアントにチャレンジを送信することで機能し、クライアントはそのチャレンジに署名してサーバーに送信することで認証を行うためです。

Fido2認定デバイスでは、キーをハードウェアレベルで保護する必要があります。したがって、特定のキーがチャレンジに署名すると、それはユーザーのデバイスからのものであることを証明します。

A PINまたは生体認証は、認証で使用される2番目の要素として機能します。

両方を組み合わせると、多要素認証になります。

1
Omer Iqbal