W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み

2019年3月6日

W3Cは3月4日、FIDOアライアンスのFIDO2仕様の中心的な構成要素であるWeb認証技術の「Web Authentication」(WebAuthn)勧告になったことを発表しました

W3Cが策定する仕様はおもに、草稿(Working Draft)、勧告候補(Candidate Recommendation)、勧告案(Proposed Recommendation)を経て正式仕様となる「勧告」(Recommendation)に到達します。今回、WebAuthnが勧告となったのに合わせて、W3CとFIDOアライアンスはWebAuthnの仕様が正式版になったことも発表しました。

fig

WebAuthnは2018年4月に勧告候補となり、そこから約11カ月で今回の勧告発表になりました。1年以内に勧告候補から勧告に到達するのは異例の早さと言えます。その理由は定かではありませんが、W3Cの関係者はFIDO側が急ぎたかったための議論のまとめが早く進んだのではないかと推測するコメントをPublickeyに寄せています。

インターネットやサーバにパスワード情報が流れない

WebAuthnは、現在多くのWebアプリケーションで用いられている、ユーザー名とパスワードの組み合わせを用いてユーザーの認証を行うのではなく、デバイス上で行う顔認証や指紋認証、PINコードによる認証を基に、公開鍵暗号を用いてサーバとの間でユーザー認証を行う技術です。

FIDO 2FIDO AllianceがFIDO2の説明に用いている図。指紋認証や顔認証などを用いた簡単で強力な認証機能をWebブラウザにもたらしつつ、中間者攻撃や流出したパスワードなどによる攻撃に耐性があるとしている

サーバに送られるのは公開鍵や秘密鍵で署名された情報などで、ネット上にパスワードが流れることはなく、またサーバ上にパスワードが保存されることもないため、通信経路上の盗聴やサーバに保存されたパスワードの漏洩といったセキュリティ上のリスクをなくすことができます。

さらにユーザーにとってもいちいちWebサイトごとにパスワードを覚えたり変更するといったことが不要で、ふだんスマートフォンなどで使っている顔認証や指紋認証がそのままWebサイトでも使える利便性が実現できます。

主要ブラウザはすでにWebAuthnに対応

WebAuthnはすでにChromeやFirefox、Microsoft Edge、Safariなどの主要なWebブラウザに実装されています。

例えばChromeではMacBook ProやAndroidに搭載されている指紋認証をそのまま利用可能。Firefoxは2018年5月にリリースされたFirefox 60からWebAuthnが正式に機能として組み込まれており、Microsoft Edgeも2018年秋のアップデートで対応。Windows Helloの顔認証や指紋認証を利用可能になっています。

アップルのSafariも2018年12月にWebAuthn対応のプレビュー版をリリースしており、いずれ正式対応になると見られます。

また昨日の記事「パスワードを不要にするFIDO2プロトコルに、Android 7以降の全デバイスが適合。FIDOアライアンスが「AndroidがFIDO2認定取得」と発表」でも伝えたように、Android 7以降の全デバイスがFIDO認定を取得するなど、今年はFIDO/WebAuthnの急速な普及が期待される年となりそうです。

このエントリーをはてなブックマークに追加
follow us in feedly




カテゴリ

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本