W3CとFIDO Allianceは3月4日 (米国時間)、パスワードに依存しないセキュアなオンライン認証の普及を目指す「Web Authentication(WebAuthn)」仕様をWeb標準とするW3C勧告を発表した。

Webアプリケーションやサービスの多くは、ユーザー認証にユーザー名とパスワードの組み合わせを用いているが、パスワードは様々な問題を抱えている。安全性を高めるほど使いにくく管理の手間がかかり、漏洩したら被害が拡大しやすい。Yubicoの調査によると、パスワードの入力や再設定にユーザーあたり年間10.9時間が費やされており、企業の年間平均コストは520万ドルに上る。しかも、SMSワンタイムコードのような従来の多要素認証 (MFA)ソリューションは別のセキュリティ層を追加するものの、フィッシング攻撃対策として万全ではなく、手間がかかることもあって利用率が上がっていない。

WebAuthnは、FIDO Allianceの「FIDO2 Project」および「Client to Authenticator Protocol (CTAP)」をベースに草案作業が進められていた。従来のユーザー名/パスワードの入力よりもシンプルなログイン方法で、安全な認証をブラウザやWebプラットフォームに実装するための標準Web API仕様だ。すでにMicrosoft Edge、Google Chrome、Firefox、Safari (Preview)といったWebブラウザでサポートされており、Webアプリやサービスの開発者は、ユーザー生体認証、モバイルデバイス、FIDOセキュリティキー、またはパスワードを組み合わせたログイン方法をユーザーに提供できる。

具体的には、ユーザーが登録した指紋認証のための指紋やパスワードなどのデータは、秘密鍵として外からはアクセスできないクライアントデバイスの安全な領域に格納される。ログインの際には各デバイス内で本人確認が行われるので、他人がなりすまして不正にログインするのが困難になる。ユーザー本人の秘密鍵で署名されたデータを受け取ったサーバが公開鍵を用いて検証。

FIDOで利用する公開鍵はサイト固有であり、サイト間の追跡に使用できない。漏洩に対する抵抗性が高く、フィッシングやリプレイ攻撃、パスワードの盗難に用いられるあらゆる攻撃のリスクを排除する。