パスワードを使わなくてもWeb認証できる?「WebAuthn」

WebAuthnが、Web認証の新たなスタンダードになるかもしれません。

FIDO Alliance and W3C Achieve Major Standards Milestone in Global Effort Towards Simpler, Stronger Authentication on the Web
https://www.w3.org/2018/04/pressrelease-webauthn-fido2.html.ja

本日発表された新しいFIDO2仕様と、それをサポートする主要ブラウザの取り組みは、全てのプラットフォームやデバイス間でFIDO認証が不偏のものとして存在する第一歩を踏み出したことを示しています。データの侵害とパスワードなどの資格情報の盗難は増加し続けていましたが、これからサービスプロバイダは、脆弱なパスワードやワンタイムパスコードに頼ることなく、全てのウェブサイトやアプリケーションで フィッシング耐性を持つFIDO認証を実装する時が来たのです。

 
発表によると、生体認証(指紋や顔、虹彩等)や、USB、BluetoothまたはNFCを介した外部認証ツールを利用し、パスワードやワンタイムパスコードを使用せずにWeb認証が可能となるそうです。
現在、W3Cにおける「勧告候補」となり、すでに主要ブラウザであるChromeやFirefox、Microsoft Edgeがサポートを発表しています。
 
生体認証と聞いてスマートフォンのロック解除を思い浮かべる方が多いのではないでしょうか。
寝起き顔で認証されずに悲しみにくれた経験をした方もいるかもしれません。
Webアプリケーションもそれらと同じように手軽にログインできるようになれば、パスワードそのものの管理の不便さ、煩わしさを嘆く必要はなくなります。
 
W3Cでは実装サンプルが公開されています。
https://www.w3.org/TR/webauthn/#sample-registration
 
Firefox Nightlyにおいては、about:configにsecurity.webauth.webauthnという項目がすでに存在していることが分かります。

firefox nightliyのabout:config

もうほぼ実現するとみていい状況だと思われます。

検索してみるとDemoサイトも出てくるのですが、試してみるとデバイスの接続を求められるアラートが表示されるところから進めませんでした。
FIDO・CTAPに対応した認証用アプリや機器が必要なのだと思われます。
また機会をみて試してみたいと思います。
 
ところで、Appleは4月現在のところだんまりです。
珍しいことでもないので近いうちに何らかの発表があるかもしれません。

このエントリーをはてなブックマークに追加
LINEで送る

コメント