アカウント名:
パスワード:
Yahoo!は「サービス事業者として世界で初めてFIDO2認定を導入」した程度で、逆に言うと一般向けのFIDO2認証がやっと始まったということ。Googleアカウントの認証をパソコンでやるならまだChromeだけのハズ(注:Googleが対応しているのはFIDO U2FでまだFIDO2ではなかったハズ。Googleが売ってるTitan Security Keyも飛天のU2F製品だと思う)。Windows 10でのMicrosoftアカウントログインはFIDO2だけ。※あとYahoo!のFIDO2ログインはAndroidスマホ+chromeだけで、その他の端末はパスワードになるので、リスト攻撃とかには意味なし芳一
FIDO2 U2Fのトークンは実質yubicoしかまだ出してなくて高い(9月時点で20以上の製品が認定を受けたと言っているが、市場に出ているとは言ってない)。この間のカンファレンスではITUにも認められた(x.1277:FIDO UAF/x.1278:FIDO2 CTAP[FIDO U2F CTAP1を含む])と言ってたけど動きが遅すぎで、有力なライバル出たら負けちゃうぞ。
YahooはSMSとかの利用でパスワードlessに設定は可能だそうだけど...
自分は2FAできる時点でキツくしすぎてトラブルになる場合の対応などから残す設定にしてるな。# ログイン専用IDは設定しているので、素だとID(不明;ただしパスワードが取れた時点で漏れると思う)+パスワード+2FA(不明)でかなり強めかなと...
FIDO2 U2FじゃなくってFIDO U2Fの拡張規格がFIDO2じゃないの?FIDO2 U2Fなの?
FIDO Clientの中間層がなくなるだけじゃないの無と二の違いって
FIDO2は認証プロトコル的というか、U2FとUAFを合せて発展的らしい、
すくなくとも後発規格であって拡張規格というわけではないかな。
https://www.yubico.com/solutions/fido2/ [yubico.com]には拡張言うとるで
おっとそれは失礼
# うーん、自分の理解がまだ不足しているな
用語については俺もポカがある(FIDO2 U2Fと言う正式用語はない。yubicoが出し始めたのはCTAP2に対応した製品)と思うけど……こないだのFIDOアライアンスのカンファレンスでGoogleの人が説明した内容で言えば……
・(U2Fとしての)リムーバブル認証器とクライアントを繋ぐのがFIDO CTAP2・クライアントには内蔵認証器(生体認証だからUAF)もある・クライアントとサーバーを繋ぐのがW3CのWebAuthnをひっくるめたのがFIDO2
FIDO2に後方互換性があるなら、ユニバーサルサーバーにする必要がないと思うんだけどなぁ(サーバーにもロゴプログラムがあります)。
もちろんSSHとかPGP署名とかでハードウェアトークンが必要な方々はいると思うけど、アレげな方々向けで一般向けではないですよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
言うほど普及していない (スコア:3, 参考になる)
Yahoo!は「サービス事業者として世界で初めてFIDO2認定を導入」した程度で、逆に言うと一般向けのFIDO2認証がやっと始まったということ。
Googleアカウントの認証をパソコンでやるならまだChromeだけのハズ(注:Googleが対応しているのはFIDO U2FでまだFIDO2ではなかったハズ。Googleが売ってるTitan Security Keyも飛天のU2F製品だと思う)。Windows 10でのMicrosoftアカウントログインはFIDO2だけ。
※あとYahoo!のFIDO2ログインはAndroidスマホ+chromeだけで、その他の端末はパスワードになるので、リスト攻撃とかには意味なし芳一
FIDO2 U2Fのトークンは実質yubicoしかまだ出してなくて高い(9月時点で20以上の製品が認定を受けたと言っているが、市場に出ているとは言ってない)。この間のカンファレンスではITUにも認められた(x.1277:FIDO UAF/x.1278:FIDO2 CTAP[FIDO U2F CTAP1を含む])と言ってたけど動きが遅すぎで、有力なライバル出たら負けちゃうぞ。
Re:言うほど普及していない (スコア:1)
YahooはSMSとかの利用でパスワードlessに設定は可能だそうだけど...
自分は2FAできる時点でキツくしすぎてトラブルになる場合の対応などから残す設定にしてるな。
# ログイン専用IDは設定しているので、素だとID(不明;ただしパスワードが取れた時点で漏れると思う)+パスワード+2FA(不明)でかなり強めかなと...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
FIDO2 U2FじゃなくってFIDO U2Fの拡張規格がFIDO2じゃないの?FIDO2 U2Fなの?
FIDO Clientの中間層がなくなるだけじゃないの無と二の違いって
Re:言うほど普及していない (スコア:1)
FIDO2は認証プロトコル的というか、U2FとUAFを合せて発展的らしい、
すくなくとも後発規格であって拡張規格というわけではないかな。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
https://www.yubico.com/solutions/fido2/ [yubico.com]
には拡張言うとるで
Re:言うほど普及していない (スコア:1)
おっとそれは失礼
# うーん、自分の理解がまだ不足しているな
M-FalconSky (暑いか寒い)
Re: (スコア:0)
用語については俺もポカがある(FIDO2 U2Fと言う正式用語はない。yubicoが出し始めたのはCTAP2に対応した製品)と思うけど……こないだのFIDOアライアンスのカンファレンスでGoogleの人が説明した内容で言えば……
・(U2Fとしての)リムーバブル認証器とクライアントを繋ぐのがFIDO CTAP2
・クライアントには内蔵認証器(生体認証だからUAF)もある
・クライアントとサーバーを繋ぐのがW3CのWebAuthn
をひっくるめたのがFIDO2
FIDO2に後方互換性があるなら、ユニバーサルサーバーにする必要がないと思うんだけどなぁ(サーバーにもロゴプログラムがあります)。
もちろんSSHとかPGP署名とかでハードウェアトークンが必要な方々はいると思うけど、アレげな方々向けで一般向けではないですよね。