パスワード不要のログイン方法「WebAuthn」がウェブ標準になる

World Wide Webで使用される各種技術の標準化を推進するWorld Wide Web Consortium(W3C)が、パスワード不要のログイン方法「Web Authentication(WebAuthn)」を新たなウェブ標準のログイン方法とすることを決定しました。これにより、多くのウェブブラウザやウェブサービスが、パスワードを使わない認証方法に対応するとみられています。

W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins - FIDO Alliance
https://fidoalliance.org/w3c-and-fido-alliance-finalize-web-standard-for-secure-passwordless-logins/

W3C finalizes Web Authentication (WebAuthn) standard | ZDNet
https://www.zdnet.com/article/w3c-finalizes-web-authentication-webauthn-standard/

W3C approves WebAuthn as the web standard for password-free logins | VentureBeat
https://venturebeat.com/2019/03/04/w3c-approves-webauthn-as-the-web-standard-for-password-free-logins/

多くのウェブサービスではユーザーの認証に、ユーザー名やメールアドレスとパスワードの入力を用いています。しかし、この方法では覚えやすいという理由で「123456」などの危険なパスワードを使ったり、複数のサービスでパスワードを使い回したりといった問題が起こり得ますが、複数のパスワードを管理するのも非常に手間がかかるものです。

そこで、新しいオンライン認証技術の標準化を目指す非営利の標準化団体であるFIDO AllianceとW3Cは、WebAuthnという新たなオンライン認証技術の標準化を進めてきました。WebAuthnとは、パスワードに依存しない方法でユーザー認証を行う仕様のことであり、指紋認証や顔認証といったバイオメトリクスやモバイルデバイス、「YubiKey」などのセキュリティキーデバイスなどを使ってユーザーがサービスにログインできます。

WebAuthnはWindows 10やAndroid、Google Chrome、Mozilla Firefox、Microsoft EdgeといったOSやウェブブラウザですでにサポート済であり、AppleのSafariも2018年12月にリリースされたプレビュー版でWebAuthnに対応しました。ウェブサービスについてもDropbox、Facebook、GitHub、TwitterなどがWebAuthnに対応済みであり、今回W3CがWebAuthnをウェブ標準と決定したことで、ほかのウェブサービスについても対応が進んでいくものとみられています。

WebAuthnがどのようなユーザー認証方法になるのかは、以下のムービーを見るとわかります。

Go Beyond Passwords with WebAuthn

多くのウェブサービスでは、ログイン時にユーザー名とパスワードの入力を用いてユーザー認証を行っています。

しかし、新たにW3Cが標準化したWebAuthnはパスワードを使用しない認証方式となります。

WebAuthnで使用されるのは指紋認証やPINコード、セキュリティキーデバイスなど。

USBポートに物理キーを差し込んだり……

デバイスの指紋認証センサーに指を置いたりといった操作で、ユーザー認証が可能となります。たとえば指紋をクライアントのデバイスに登録するとその指紋に対応した公開鍵と秘密鍵が作成され、サービスのサーバーには公開鍵が保存されます。秘密鍵はデバイス上で保存されており外部に流出することはなく、ユーザー認証時には指紋認証や物理キー認証といった方法で本人確認を行った後、サービスのサーバーへ秘密鍵で署名して返送する仕組みだとのこと。

モバイルのブラウザやサービスでも、WebAuthnが標準化されます。

データ漏えいのうち81％は、推測しやすいパスワードを使用していたりパスワードが盗まれたりすることが原因だそうで、ユーザーがパスワードの入力を行ったりパスワードの再設定を行ったりする時間も、年単位で考えると相当なものになるとのこと。W3CのCEOであるJeff Jaffe氏は、「Webサービスや企業はパスワードを用いた脆弱な認証方法よりも優秀なWebAuthnに対応し、ユーザーのセキュリティと操作性の向上を図る必要があります」と述べました。

なお、W3Cがウェブ標準化の勧告を行ったといっても、勧告に従うかどうかは個々の業者やサービスに任されています。それでもW3CをサポートするAirbnb、アリババ、Apple、Google、IBM、Intel、Microsoft、Mozilla、PayPal、SoftBankといった企業は世界に多くのシェアを持っているため、今後多くのウェブブラウザやウェブサービスが、サービスへのログイン時にユーザーがWebAuthnを利用できるようにシステムを変更するとみられています。