World Wide Web Consortium (W3C)とFast IDentity Online (FIDO) Allianceは、先日Web Authentication (WebAuthn)仕様を公式なWeb標準として発表した。WebAuthnでは、パスワード単体よりも高いセキュリティのバイオメトリックス、モバイルデバイス、FIDOセキュリティキーを使ってユーザーがログインできる。
WebAuthnは強力で、証明されていて、スコープされていて、Webアプリケーションによる公開鍵ベースの資格情報でユーザーを認証するブラウザーとWebプラットフォームの新しいWeb APIである。WebAuthnはすでにWindows 10、AndroidとGoogle Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari (preview)などのWebブラウザーでサポートされている。WebAuthnはDropbox、Facebook、GitHub、Salesforce、Stripe、TwitterといったメジャーなWebサイトに実装されている。W3CメンバーのYubicoは、WebAuthnの重要性と、クロスブラウザー、クロスプラットフォーム可用性について証言した:
(…) W3CによるWebAuthnの標準化は、オープン認証標準とインターネットセキュリティの歴史において画期的な出来事です。私たちは共にほぼ実現不可能な、すべてのプラットフォームとブラウザーにサポートされているグローバルスタンダードの作成を達成しました。
W3CのWebAuthn勧告はFIDO AllianceのFIDO2仕様の重要な部分である。WebAuthnに反映されたFIDO2の重要な機能の1つは、フィッシング攻撃を防ぐためのオリジンチェックである。Web上のWebAuthnのビジネスケースは、パスワードベースの認証における不十分なセキュリティに関連したコストによるものである:
WebAuthnを使用するには、外部セキュリティデバイス(FIDO 2セキュリティキーなど)や内部認証機器(指紋リーダー、顔認証など)が必要になる。
技術的な側面以外に重要なWebAuthnの側面は、使用可能な、標準の採用を促進する、安価な認証デバイスが登場することである。採用を促進するために、FIDO Allianceはテストツールとa 認証プログラムを提供している。企業向けのパスワードなし認証技術を提供するTrusona社は次のように述べている:
この新しいプロトコルは、バイオメトリックスが利用可能なPCやラップトップを使っていること– またはユーザーがハードウェアトークンを持っている(または購入する)必要があります。消費者に対する追加の要求やコストは、この新しいソリューションの広範な採用を妨げるかもしれません。
FIDO Alliance www.fidoalliance.orgは、強力な認証技術における相互運用性の欠如と、複数のユーザー名とパスワードを作成して記憶するセキュリティの問題に対処するために2012年7月に設立された。
W3Cのミッションは、Webが誰に対してもオープンで、アクセス可能で、相互運用可能であり続けるために技術標準とガイドラインを作成することである。