World Wide Web Consortium(W3C)が、「W3C Web Authentication」の初となる草案を公開している。この標準仕様は、ブラウザが暗号による強固な認証をサポートすることで、ユーザーが安全にウェブアプリケーションにアクセスし、フィッシングを根絶することを目指すものだ。
Web Authentication(WebAuthn)作業部会のホームページでは、「フィッシングが不可能なプライベートを守る認証をウェブで実現し、パスワードへの依存度を下げるための重要なステップ」と説明している。
パスワード窃盗やデータダンプの漏えいが最近のセキュリティニュースの話題を独占する中、W3Cの取り組みは時宜を得たものといえる。認証手法の変更とエンドユーザーの習慣を変えることは容易ではない。これまでにW3C以外でもブラウザ中心のモデルについて検討されている。
Web Authentication(WebAuthn)の最初の草案(ワーキングドラフト)は5月末に公開されている。9月までに勧告候補(Candidate Recommendation)に到達させることを目指し、開発者のレビューを得たいとしている。
この作業部会の目標は、パスワードの必要性をなくして多要素の認証サポートを容易にすること、ハードウェアベースの暗号化キーストレージを確立して固有のキーペアにより、ウェブサイトでユーザーの追跡を防ぐことだ。
WebAuthn仕様には、API向けの設計、それに暗号化キーを生成するデバイスの認証と署名向けのメカニズムなどが含まれる。すべての暗号化処理は背後で行なわれ、ハードウェアトークンまたはスマートフォンの形をとる認証要素としてのデバイスによりアクティベーションされる。
WebAuthnのAPIはウェブページがWebAuthn仕様に準拠した暗号認証を受け取るのを可能にするもので、ユーザーの認証要素はユーザーのデバイスに差し込まれるか、認証要素となるセキュアなエレメントを含むスマートフォンなどのデバイスを利用する。ユーザーは各ウェブサイトに独自の暗号認証を登録し、認証要素を使ってログインなどのオペレーションに同意することになる。ユーザーは自分の認証とキーを管理でき、プライバシーの確保を容易にする。
WebAuthn作業部会は、FIDO Allianceが2015年11月に提出したFIDO 2.0の作業に基づいたものとなっている。
注:筆者は現在、W3CとFIDO Allianceの加盟企業の仕事に従事している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
