パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ

Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況

[s_nagano]

“残念ながらアップルの名前はありません”

[NOV1975]

「パスワードの代わりに指紋認証や顔認証などの生体認証やPINコード」えーと、PINコードって…実質パスワードじゃね？

[tettekete37564]

勘違いしている人多いけどこれは既存の公開鍵方式暗号を使った認証技術のWeb標準化の話であって、秘密鍵をどの様に守るのか（指紋認証・PIN・顔認証・etc...）は各端末側の責任と思われ。記事中の W3C 記事リンク先参照

[operator]

要するに昔からあるクライアント証明書認証を応用するもので、ローカルPC内のクライアント証明書を取り出すために、生体認証とかをローカルで認証処理する仕組みを標準化する試みだろう。要素技術に新しい物はない。

[Fushihara]

指紋等の生体情報はパスワードではなくID。だからappleはタッチ"ID"、フェイス"ID"。この認識をなんとかしないといかん

[cript]

生体認証って万が一破られたり盗み取られたら、取り替え効かないんじゃね？

[haruten]

PINとパスワードの違いを理解するのって難しいよね

[iTaro]

Safariがまた新しいIE6と揶揄されるのか

[ya--mada]

デバイス喪失時のリカバリーの穴をどうふさぐか問題なのかな？

[eichannel]

スマホを自宅に忘れてログインができなく未来が見える

[kangsungyang03]

これ今のうちに覚えてないと、あとで死ぬ気がする。

[nisisinjuku]

WebAuthnね。デバイスにある生体認証も使えるってのは便利になっていいですね。

[mohri]

これまであった公開鍵暗号をウェブで使うだけという話だけど、なぜ今になって可能になったのだろう。やはりスマホというデバイスの利便性によるのだろうか？

[waman]

『ユーザーがサーバへログインしようとするときには、まず、指紋認証などでクライアントデバイスによって本人であることが確認されます』

[N_T]

"FIDO2では、パスワードの代わりに指紋認証や顔認証などの生体認証やPINコードなどを用います。" "そして認証を行うときのクライアントとサーバのあいだのやりとりには、公開鍵暗号の技術を使います。"

[konisimple]

昔からあるクライアント証明書をブラウザに実装するときの方法の標準化の話。秘密鍵を守るのに指紋とかPINを使うっぽい。これって別のデバイスで秘密鍵共有する部分はChromeなら結局Googleアカウントとか使うのかな。じゃ

[pmint]

普通のサイトはGoogleなどのオープン認証使っとけばよさそう。

[peppers_white]

パスワードは起動用の飾りで実際は意味不明なコードを送るみたいなもんかね、別のパソコンだと使えないみたいな

[miho-satoh-satomi]

WebAuthn 認証 w3c

[AmaiSaeta]

「標準規格」って所がデカイのかね。

[itochan]

スマホ水没させると…（先日やってしまった）　／　よくわからない。再現性あるの？　＞ 例えば、指紋認証のために指紋をクライアントデバイスに登録すると、その指紋に対応した秘密鍵と公開鍵が作成され、

[mkusunok]

どっこいパスワードはそう簡単にはなくならない。サプライチェーンリスクもあれば登録の本人性をどう担保するのかとか、紐付けにあたっての悩みは尽きないんですよね

[wdr_s]

なるほど。公開鍵認証を標準化するということね…

[F-SQUARE]

“FIDO2では、パスワードの代わりに指紋認証や顔認証などの生体認証やPINコードなどを用います。”/あまり変わり映えしないなぁ

[tetsutalow]

なかなか離陸感がなかったFIDOだけど今度こそうまくいって欲しい。あとはAppleがねぇ…

[higher_tomorrow]

『 WebAuthn は、「FIDO Alliance」（ファイドアライアンス）が策定した認証技術「FIDO2」を構成する技術の 1 つ』

[naga_sawa]

認証時の機微情報がクライアント側で閉じるってことで期待してたので主要ブラウザが対応してサーバ側ライブラリが潤沢にでてくると一気に普及するかもしれんね/認証認可がこれとOAuthでまとまればいいのに

[fjsk]

クライアント乗っ取りには無力なので万能ではないことに注意。

[adsty]

指紋認証や顔認証等を用いた簡単かつ強力な認証機能を実現。

[hazisarashi]

これ普及したら生体認証だけでいい系のサイトと、更にマスターパスワード使った認証サイト2つ分けて使うとか出来るようにならないと怖い気がする

[fake-jizo]

Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 Tags:

[ryunosinfx]

結局SSHの公開鍵認証が標準になりましたということか。やっぱりこれだよな、常識的に考えて。

[takehikom]

「ファイドぉ！」「いっぱぁぁつ！」

[iekusup]

ほー。

[takuver4]

お、こんなのが普及しそうなのね。公開鍵暗号を使うのは良いと思います。

[sotokichi]

“残念ながらアップルの名前はありません）”　まだあわてるような時間じゃない。

[tekitou-manga]

同一アカウントに対して端末・PCごとに登録が必要になるのかな？デバイス紛失時は他の端末からアクセスして端末登録を削除するとかそういう形？いまいち具体的に想像できない

[takhasegawa]

昔、ソフトの割れ対策でドングルデバイスでライセンス認証とかあったなぁと思い出した

[nikoch]

確かに・・

[securecat]

生体認証が一般化するほど、指が切断されたり目がくりぬかれたりするリスクが高まりそうで怖い