Webを利用する際のパスワードに変わる新しい認証方法として「WebAuthn(Web Authentication)」というAPIの仕様を定める取り組みが進められています。
パスワードを用いたユーザー認証への依存を軽減するため発足した「FIDO Alliance」とWeb技術の標準化を勧める「W3C」が先導して進めており、最終段階直前の勧告候補段階とのこと。
仕様が定まった段階で、GoogleやMozilla、Microsoftといった、大手ブラウザベンダーがWebAuthn APIの採用を表明しています。
「WebAuthn」は、GoogleやFacebookなどが現在採用している2段階認証に似ており、セキュリティキーやスマートフォンなどの外部デバイスを利用します。
例えば、Webサイト上でユーザーIDを入力したあとパスワードを入力するのではなく、スマートフォン上に表示されるメッセージに従い指紋認証や顔認証を行ったりPINコードを入力する、という仕組みを用いて認証を行います。
スマートフォンだけでなくFIDO2に対応した外部デバイスに搭載されたBluetoothやUSB・NFCなどを通じて、ウェブサイトと直接通信を行い認証処理を行うためのAPI仕様が定義されています。
WebAuthnが普及することにより、ユーザーは長くて覚えにくいパスワードを記憶したり、定期的にパスワードを変更すると行った手間から開放されます。
そもそもパスワードを入力する必要がなくなるので、フィッシングサイトなどでのパスワードの盗難や、パスワードの使い回しによる被害の拡大を防ぐこともできます。
FIDO Allianceエグゼクティブ・ディレクターのBrett McDowell氏が言うには、信用情報の盗用に対し、パスワードという仕組み自体が脆弱であるとのこと。
そのため、WebAuthnを採用することで、これまでよりはるかに安全な認証システムを実現できると語っています。
WebAuthnも、いずれ欠陥を突く仕組みが登場してくることが予想されます。
しかし、現時点では、セキュリティリスクだけでなくユーザーの負担も軽減できるこの技術は、非常に得難いものといえるでしょう。
