RSA 2004年のRSAカンファレンスで、当時マイクロソフト会長だったビル・ゲイツは、パスワードには問題があり、人々はそれをうまく管理できないため、パスワードの終焉を予言しました。そして15年経ち、今週サンフランシスコでRSA USA 2019が開幕する今も、私たちは依然としてパスワードを使い続けています。
しかし、Web 認証仕様の標準化により、インターネット ユーザーがパスワードを入力したり、パスワード管理アプリに空白を埋めさせることなく Web サイトにログインできる可能性が少し高まってきました。
6 音節を声に出して言うのが少々大変だと思う人向けに WebAuthn として知られているこの新しい仕様は、Android、Apple Safari (プレビュー)、Google Chrome、Microsoft Edge、Mozilla Firefox、Windows 10 ですでにサポートされています。
この仕様により、ユーザーは生体認証、モバイル ハードウェア、および/または FIDO2 準拠のセキュリティ キーから生成された暗号キーを通じて、好みのデバイスを使用して自分自身を認証し、インターネット アカウントにログインできるようになります。
「今こそ、ウェブサービスや企業がWebAuthnを導入し、脆弱なパスワードを乗り越え、ウェブユーザーのオンライン体験のセキュリティを向上させる時だ」とウェブ標準グループW3CのCEO、ジェフ・ジャッフェ氏は月曜日の声明で述べた。
WebAuthnはパスワードを完全に排除するわけではありません。むしろ、ハッシュ化されたユーザーパスワードであってもサーバーに保存することによるセキュリティリスク(フィッシング、パスワード盗難、リプライ攻撃など)を排除し、入力された認証情報からハードウェアベースの暗号化ログイン認証情報と何らかの認証ジェスチャまたはコードへと焦点を移します。
将来的には、セキュリティが不十分なサーバーを通じてパスワードを保護する機密性が失われるよりも、物理的なハードウェア キーを紛失する方が心配になるでしょう。
パスワードを忘れた?ご安心を!2つの新しい標準規格が、ログインをAPIエクスペリエンスにすることを目指しています
続きを読む
このテクノロジーにより、Web サイトはデスクトップまたはモバイル デバイスに関連付けられた FIDO2 認証情報を持つ訪問者からのスムーズな認証をサポートできるようになります。
このようなシナリオでは、ノートパソコンまたはデスクトップパソコンとBluetoothペアリングされた携帯電話を持つユーザーがウェブサイトのサインインページにアクセスし、携帯電話による認証を求めるプロンプトが表示される場合があります。その後、ユーザーは、携帯電話の指紋リーダー(搭載されている場合)を押す、またはPINを入力して該当するコンピュータにログインするなど、何らかの認証操作を行います。
別のシナリオでは、ノートパソコンやデスクトップパソコンを持つユーザーが、スマートフォンベースの認証デバイスの代わりに専用のFIDO2フォブを利用する場合があります。しかし、認証プロセスでは、フォブのボタンを押すかPINを入力する必要があるでしょう。自動認証が失敗する可能性があるためです。USBメモリを使って銀行口座に簡単にアクセスできるのは望ましくありません。
昨年WebAuthnを導入したDropboxでは、この技術によってワンステップ認証ではなく二段階認証を実現しています。同社は、セキュリティとユーザビリティに関する様々な要因を考慮すると、パスワードを完全に廃止するのは時期尚早であるため、認証プロセスの一部としてパスワードを維持していると述べています。
一方、マイクロソフトは共同創業者のパスワード廃止の願いを叶えるべく全力を尽くし、昨年のWindows 10 2018年10月アップデートでFIDO2ハードウェア認証のサポートを追加しました。これにより、Windows 10でMicrosoft Edgeを使用しているユーザーは、パスワードを入力せずにMicrosoftアカウントにログインできるようになりました。®
