サービスがFIDO認証を導入する場合、FIDO認証器の紛失、破損、盗難に対処するための安全なアカウント回復プロセスが必要です。 以前のFIDOアライアンスのホワイトペーパー「 Recommended Account Recovery Practices for FIDO Relying Parties(FIDO証明書利用者に推奨されるアカウント復旧プラクティス)」では、次の2つの戦略を推奨しています。
- ユーザーに複数のオーセンティケーターの登録を要求し、アカウント回復の必要性を減らします。
#1 が実行不可能な場合:
- 最初の ID プルーフィングまたはユーザー オンボーディング プロセスを再実行して、アカウントを回復します。
最初の戦略は、複数の認証器を要求するもので、アカウント復旧オプションの数が限られているFIDO対応の消費者向けアカウントにとって非常に重要な役割を果たします。 これには、FIDO認証情報の登録後にパスワードが無効になっている場合や、2段階認証のためにパスワードとFIDO認証情報が登録されている場合などが含まれます。
このホワイトペーパーでは、最初の戦略に焦点を当て、複数の認証器を使用してFIDO認証を展開する方法に関するガイダンスを提供します。 すでに登録されているオーセンティケーターにバインドされた新しいオーセンティケーターを登録する方法、セキュリティに関する考慮事項、カバレッジ/オーセンティケーターのオプション、ユーザビリティ、およびFIDO対応のブラウザーとプラットフォームに基づくポリシーについて説明します。 登録方法に関する推奨事項と、ソリューションを展開するためのポリシーの例を示します。