2018/08/19

WebAuthnって何?パスワードを覚えなくてよい時代がやってくる?


認証にパスワードを用いる手法は10年以上前から続いている(厳密にはIDとパスワードの二要素認証だが)

これまでに代替となるような様々な認証方法も考案されているが、当然デメリットもある。

・生体認証:一見よさげに見えるが、万一認証情報が漏洩すると替えが利かない
      (パスワードの場合漏洩したら変更すればよいが、そういったことができない)
・デバイス認証:紛失すると結構悲惨

んで世代交代の決定打がないまま二要素認証が引き続きメインで使われ続けているわけだが、世の中の99.9999%の人はサイトごとにパスワードを使い分けるようなことはしていない。

(パスワードを使い分けている人はこれまでの人生で自分含めて3人しか知らない)

パスワードを使いまわした場合、どこかのサイトでパスワードが漏洩し、漏洩したパスワードを用いて他のサイトでパスワードリスト攻撃が行われると、非常に残念な事態が起きる。

パスワードの使いまわしをユーザーリテラシーの低さというには大分無理があり、パスワードの不便さを解消するために検討が進められているのがWeb Authentication(WebAuthn)です。

ポイントはパスワードの代わりに生体情報やデバイスを利用しますが、それそのものではなく、生体情報やデバイスを使ってそれに対応した秘密鍵と公開鍵を作成し、認証は作成した秘密鍵と公開鍵を使うとのこと。



生体情報をそのまま認証に使うわけではないので、秘密鍵が漏洩したら作り直すってことができるのかな?

【参考URL】
「パスワード不要」な未来が、もうすぐやってくる
パスワードに依存しない認証「WebAuthn」をChrome、Firefox、Edgeが実装開始 W3Cが標準化