FIDO Allianceは4月10日 (米国時間)、パスワードに依存しないセキュアなオンライン認証の実現を目指す「Web Authentication (WebAuthn)」を、World Wide Web Consortium (W3C)が勧告候補 (Candidate Recommendation)に進めたことを発表した。

WebAuthnは、生体認証などを利用した強固な認証をブラウザやWebプラットフォームに実装するための標準Web API仕様だ。FIDO Allianceの「FIDO2 Project」および「Client to Authenticator Protocol (CTAP)」をベースに草案作業が進められていた。

パスワードはユーザーにとって扱いにくい上に盗みとられて悪用されるリスクが高い。CTAPは、ユーザーがインターネットに接続しているデバイスからセキュリティ・キーやスマートフォンといった外部のオーセンティフィケータにUSBやBluetooth、NFCを通じて認証要求するためのプロトコルだ。FIDO2は、FIDO 1.0でパスワードレス認証のフレームワーク「UAF」と、パスワードに加えた2要素認証向けの「U2F」に分かれていた方式を統合したもの。漏洩リスクのあるパスワードのやり取りの必要性をなくし、そして登録済みの認証デバイスから広くFIDO認証を使ったログインを可能にする。

たとえば、FIDO認証をサポートするあるサービスで指紋認証付きスマートフォンを認証用デバイスとして登録したら、他の未登録のPCやモバイルデバイスからサービスにアクセスする際にも、登録済みデバイスの指紋認証機能を使ってログインできる。デバイスごとに登録し直す作業が不要。本人認証がユーザーとその手元にあるデバイスの間で完結するため、フィッシングや中間者攻撃の対策として有効だ。FIDO2は、既存のFIDOセキュリティキーとの後方互換を持つ。

WebAuthnは、FIDOが目指すシンプルで安全な認証方式の活用をWeb全体に普及させるものになると期待されている。すでにGoogle、Microsoft、Mozillaがサポートを表明しており、Windows、Mac、Linux、Chrome OS、Android向けのブラウザにおいてWebAuthnの実装が実現していく見通しだ。WebAuthn仕様はW3Cのサイトで、CTAP仕様はFIDO Allianceのサイトで公開されている。