FIDO
TPM や生体認証機能を備えた認証器 (スマートフォンやセキュリティキー) を活用し、ユーザがパスワードを利用することなくアカウントにログインできるようにすることを目的とした標準規格
FIDO v1.0
UAFとU2Fから成る
FIDO UAF
スマートフォンのネイティブアプリケーション向けに公開鍵ベースのパスワードレス認証を規定
UAFはスマートフォンを前提としていたためWebブラウザへの応用が進まなかった
FIDO U2F
パスワードに加わる第 2 認証要素として、従来通りの OTP でなく、公開鍵暗号を利用できるようにした
パスワードを補完する技術要素にすぎず、完全なパスワードレスを実現するものではなかった
FIDO2
2018年に発表
WebAuthnとCTAPから成る
WebAuthn (Web Authentication)
ウェブブラウザが認証器とコミュニケーションをとり、キーペアを作成したり、チャレンジに署名したりする方法を定めている
ウェブ開発者はユーザの認証器に対してキーペアの作成やチャレンジへの署名を依頼できる
2022-11時点でFirefoxを除くすべての主要なブラウザで完全にサポートされている
CTAP (Client to Authenticator Protocol)
OS がセキュリティキーのような外部認証器とやりとりする際の低レイヤープロトコル