W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み
W3Cは3月4日、FIDOアライアンスのFIDO2仕様の中心的な構成要素であるWeb認証技術の「Web Authentication」(WebAuthn)が勧告になったことを発表しました。
W3Cが策定する仕様はおもに、草稿(Working Draft)、勧告候補(Candidate Recommendation)、勧告案(Proposed Recommendation)を経て正式仕様となる「勧告」(Recommendation)に到達します。今回、WebAuthnが勧告となったのに合わせて、W3CとFIDOアライアンスはWebAuthnの仕様が正式版になったことも発表しました。
WebAuthnは2018年4月に勧告候補となり、そこから約11カ月で今回の勧告発表になりました。1年以内に勧告候補から勧告に到達するのは異例の早さと言えます。その理由は定かではありませんが、W3Cの関係者はFIDO側が急ぎたかったための議論のまとめが早く進んだのではないかと推測するコメントをPublickeyに寄せています。
インターネットやサーバにパスワード情報が流れない
WebAuthnは、現在多くのWebアプリケーションで用いられている、ユーザー名とパスワードの組み合わせを用いてユーザーの認証を行うのではなく、デバイス上で行う顔認証や指紋認証、PINコードによる認証を基に、公開鍵暗号を用いてサーバとの間でユーザー認証を行う技術です。
サーバに送られるのは公開鍵や秘密鍵で署名された情報などで、ネット上にパスワードが流れることはなく、またサーバ上にパスワードが保存されることもないため、通信経路上の盗聴やサーバに保存されたパスワードの漏洩といったセキュリティ上のリスクをなくすことができます。
さらにユーザーにとってもいちいちWebサイトごとにパスワードを覚えたり変更するといったことが不要で、ふだんスマートフォンなどで使っている顔認証や指紋認証がそのままWebサイトでも使える利便性が実現できます。
主要ブラウザはすでにWebAuthnに対応
WebAuthnはすでにChromeやFirefox、Microsoft Edge、Safariなどの主要なWebブラウザに実装されています。
例えばChromeではMacBook ProやAndroidに搭載されている指紋認証をそのまま利用可能。Firefoxは2018年5月にリリースされたFirefox 60からWebAuthnが正式に機能として組み込まれており、Microsoft Edgeも2018年秋のアップデートで対応。Windows Helloの顔認証や指紋認証を利用可能になっています。
アップルのSafariも2018年12月にWebAuthn対応のプレビュー版をリリースしており、いずれ正式対応になると見られます。
また昨日の記事「パスワードを不要にするFIDO2プロトコルに、Android 7以降の全デバイスが適合。FIDOアライアンスが「AndroidがFIDO2認定取得」と発表」でも伝えたように、Android 7以降の全デバイスがFIDO認定を取得するなど、今年はFIDO/WebAuthnの急速な普及が期待される年となりそうです。
あわせて読みたい
Unicode 12.0正式版が登場。日本語では小文字の「ゐ」「ゑ」「を」「ヰ」「ヱ」「ヲ」「ン」が追加。新元号が発表され次第、次の12.1で新元号キャラクタを追加
≪前の記事
2023年になっても基幹系はオンプレミス/Kubernetesの解説本無料配布/NTPサーバと同期するNTPクロック販売開始ほか、2019年2月の人気記事