Yahoo! Japanが近日中にFIDO認証に対応すると表明、パスワードを使わず生体認証などでWebブラウザからのログインを可能に

最近のスマートフォンやPCには、指紋認証や顔認証などの生体認証を用いてロック画面を解除し、OSへログインする機能が備わっています。

OSへのログインはこのように生体認証などを用いて手軽にできるようになったものの、WebブラウザでソーシャルメディアやECサイトへログインするためには、いまのところユーザー名とパスワードをキーボードから入力する必要があります。

しかしもうすぐ、Webサイトへも生体認証などを用いて簡単かつ安全にログインできる時代がやってきます。

Yahoo! Japanは9月27日、「FIDO認証」（ファイド認証）への対応を近日中に行うと発表しました。

同社は2018年8月に世界で初めて開催された「FIDO2」認定テストにおいて、「FIDO2」の認定を国内企業として唯一取得したこともあわせて発表しました。

FIDO認証とWebAuthn

「FIDO認証」とは生体認証などを用いることでパスワードを入力することなく、Webブラウザからログイン可能にする規格もしくはその実装です。

最新のFIDO2を構成する技術としてW3Cが標準化を行っているWebAuthnがあり、すでにChrome、Firefox、Microsoft EdgeはWebAuthnに対応済みです。

参考：パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ

つまりWebAuthnに対応したWebブラウザからFIDO認証を実装したWebサイトへログインする場合、生体認証などを用いることが可能になるわけです。

FIDO AllianceがFIDO2の説明に用いている図。指紋認証や顔認証などを用いた簡単で強力な認証機能をWebブラウザにもたらしつつ、中間者攻撃や流出したパスワードなどによる攻撃に耐性があるとしている

具体的にはWebブラウザからMacのTouchIDやWindows Helloの指紋認証や顔認証、PINコード、Androidの指紋認証などが利用できる見通しとなっています。

• Chrome 70から、WebAuthnでMacのTouchIDとAndroidの指紋認証がデフォルトで利用可能に。Webサイトへのログインもタッチで
• マイクロソフト、WebAuthnをEdgeに実装。パスワード不要、生体認証やPINでWebサイトへログイン可能に。2018年秋のWindows 10アップデートで

パスワードを送らず公開鍵を用いるためより安全に

ユーザーIDとパスワードを用いてWebサイトへログインする従来の方法は、インターネット上をユーザーIDとパスワードが流れ、そしてWebサイト上にはあらかじめ正しいユーザーIDとパスワードの組み合わせが保存されています。

これには通信経路上のパスワードを第三者に盗み見られるリスクや、Webサイトに保存されたパスワードを盗まれるリスクなどが存在します。現在ではこうしたリスクを抑えるためにHTTPSが普及し、Webサイトに保存される情報も暗号化されることが多いとはいえ、リスクを完全になくすことはできません。

FIDO認証では、生体認証やPINコードの情報をもとに作成された公開鍵がWebサイトに送られ保存されます。もともと公開鍵は公開するための鍵であるため、誰に見られたとしても問題ありません。

FIDO認証では知られてはいけない秘密鍵はデバイス内に保存され、知られてもよい公開鍵だけがインターネットを通じてWebサイトへ保存されるため、知られてはいけないユーザーIDとパスワードをWebサイトへ送信し保存する従来の手法と比較して、本質的に安全なものになっているわけです。

FIDO認証が普及することで、Webサイトからパスワードが流出するような事故は大幅に抑制されることが期待できます。日本国内のWeb環境に大きな影響力を持つYahoo! JapanのFIDO認証への対応は、その普及に弾みをつけるのではないでしょうか。