アンドロイドの保護確認とFIDO
この機能は、特別な注意を必要とするほど重要であるとみなされる特定のトランザクションの間、ユーザーに確認を促すことによって、アカウント乗っ取りに対する安全策を提供する。このようなシナリオでは、保護されたセキュリティ環境が、メッセージが悪意のあるソフトウェアによって破損されていないことを保証するような方法で、ユーザーに確認メッセージを表示する。
Android Protected Confirmationを使用するには、アプリがハードウェアで保護されたAndroid Keystoreで鍵を生成します。アプリは、その鍵が保護された確認の署名にのみ使用できることを証明する認証証明書を送信する。その後、ユーザーが電源ボタンを2回押してトランザクション・プロンプトを確認すると、署名されたアサーションが生成され、「what-you-see-is-what-you-sign」インタラクションが提供される。Protected Confirmationによる信頼性の向上は、個人間送金、認証、医療機器制御など、さまざまなユースケースでセキュリティを強化するのに役立つ。
数年前、Nok NokはTrusted Execution Environment(TEE)ベンダーと協力して、まさにこのコンセプトを示す概念実証を開発しました。改ざん防止されたトランザクション表示という概念はFIDOに組み込まれており、ユーザがフィッシングに遭って認証情報を漏らす可能性を完全にシャットアウトすることができる。
保護された確認機能は現在、Google Pixel 3にのみ実装されているが、他のデバイスベンダーも追随する可能性がある。しかし、すべてのオペレーティングシステムとモバイルデバイスでサポートされているFIDO標準は、この保護された確認機能(FIDO用語では「トランザクション」と呼ばれる)をカプセル化している。
FIDO認証の利用は、この急速な変化に対応する一つの方法である。FIDO認証の利用は、この急速な変化に対応する1つの方法です。最新のセキュリティ機能を活用することで、アプリ開発者はコア製品の非セキュリティ機能の開発に戻ることができます。さらに、FIDOを使えば、アプリやバックエンドのインフラを変更しなくても、現在および将来利用可能なさまざまなセキュリティ機能を利用することができます。