アカウントの漏洩やパスワードを総当たりでハックされるなどの被害は毎年増え続けており、より複雑で長いパスワードへ変更を促すWEBサービスも珍しくありません。
そのような中でパスワードは廃止して生体認証を活用するWebAuthnが提唱され注目を浴びています。そこで今回はパスワードが要らない世界を作るWebAuthnについてご紹介します。
WebAuthnならパスワードの推測や総当たりによる攻撃に強い
WebAuthnでは指紋情報や顔認識をパスワードの代わりに採用し、パスワードを使用しない認証の仕組みです。認証のために指紋情報や顔情報をやり取りするのではなく、情報を元に鍵を生成して使用します。
仮にWEBサーバーから鍵が漏洩・流出してしまっても鍵の生成に使用した指紋情報や顔情報がなければ認証することができないためハッキング耐性も高いという特徴があります。
着々と対応が進んでいるWebAuthn
WebAuthnを使用するにはOSやブラウザの対応と対応デバイスが必要ですが、Windows10とAndroid、Chrome OSに加えFirefoxやChromeが対応しています。
Windows10の標準ブラウザであるEdgeもOctober 2018 Updateで正式に対応しています。サポート終了したOSやブラウザはWebAuthnに対応しないのはもちろん、サポート終了が迫っているWindows7やWindows8.1も対応予定はありません。
WebAuthnに必要な認証デバイスはFIDO2準拠
WebAuthnで使用できる認証デバイスにはFIDO2準拠の指紋リーダーやUSB接続の物理キーなどがあります。Windows HelloデバイスであってもFIDO2準拠とは限らないため注意で画必要です。2019年現在FIDO2準拠の認証デバイスを内蔵したパソコンは発売されておらず、別途購入しなければなりません。
大手WEBサービスは既にWebAuthnへ対応済み
WebAuthnへの対応はYahoo JapanやLineなどメジャーなWEBサービスから既に始まっています。中にはパスワード認証後の2段階認証としてWebAuthnを導入しているケースもあり、ワンタイムパスワードを使わないよりセキュアな認証システムと言えます。
しかしWebAuthnへの取り組みは始まったばかりでユーザーが意図的にWebAuthn設定を行う必要があります。
まとめ
パスワードが分かると完全に突破されてしまう従来の認証方式より強固且つ確実なWebAuthnは今後のユーザー認証のスタンダードになると予想されます。
対応する認証デバイスの準備やソフトウェア側のアップグレードなど利用開始するまでの手間はかかりますが、それに似合うだけの高い安全性は魅力的です。もし過去にアカウントの乗っ取りやパスワードが漏れてしまった経験があるなら積極的にWebAuthnを試してみることをお勧めします。
