World Wide Web ConsortiumとFido AllianceがWebAuthnを発表:それはどういう意味ですか?
通常、新しいオンラインアカウントを作成するときには、それほど多くのオプションが表示されません。パスワードを作成する必要があることは明らかです。ほとんどの人にとって、これは2つのルートのいずれかを使用することを意味します。アカウントを危険にさらす、簡単で覚えやすい、再利用されたパスワードまたは、推測しにくい長いパスワード。これは入力するのが面倒で、覚えるのが面倒です。両方のオプションが正確に理想的ではないことは言うまでもない。それで、現在の状況を変える可能性のあるものはありますか?まあ、そこにあり、実際にどこかに行くかもしれません。
Table of Contents
WebAuthn –パスワードなしの代替
WebAuthの略であるWebAuthnは、Webサイトとセキュリティデバイス間の通信を促進する独自仕様の標準です。 World Wide Web Consortium(WC3)とFIDO Allianceの2つのオンラインコンソーシアムは過去数年間取り組んでいますが、そのコンセプトは2014年からFIDO AllianceのUniversal Authentication Factor(UAF)APIにまでさかのぼることができます。
WebAuthnとUAFの両方の目標は、パスワードを覚えたり入力したりする必要なく、オンラインアカウントにログインする新しい安全な方法を提供することです。さまざまな複雑な理由により、UAFは私たちの日常生活に印象を与えることができませんでしたが、WebAuthnは異なるだけのように見えます。
月曜日に、WC3とFIDO は WebAuthnが公式のWeb標準になったことを発表しました。簡単に言えば、これは、専門家が製品をWebおよびアプリ開発者に実装するためのアドバイスを開始するのに十分な自信があることを意味します。これらすべてが私たち全員にどのように影響するかを理解するには、WebAuthnの仕組みを調べる必要があります。
WebAuthnはどのように機能しますか?
ユーザーの観点からは、物事は非常に簡単です。アイデアは、代わりに、ユーザー名とパスワードを入力すると、あなたがいずれかのコンピュータやスマートフォン上で生体認証メカニズムを使用して、ある、またはあなたが利用ハードウェアトークンそれはUSBでキーホルダーや作品に担持することができ、NFC、ブルートゥース、または同様の通信プロトコル。ログイン資格情報はまったくなく、魅力的なコンセプトのように聞こえます。しかし、セキュリティ面についてはどうでしょうか?
プロセスは一見単純ですが、裏ではWebAuthnログインはかなり複雑な操作です。すべては公開鍵(非対称とも呼ばれます)暗号化に基づいています。つまり、公開鍵と秘密鍵の2つの鍵が関係しています。アカウントの各アカウントは、コンピューターまたはハードウェアトークンが登録時に生成する暗号キーのペアを取得します。公開鍵はサービスプロバイダーに送信され、秘密鍵はデバイスに保存されます。ログインしようとすると、サービスプロバイダーはチャレンジを送信し、デバイスはこれに署名して秘密鍵で暗号化します。チャレンジを復号化して署名を確認する唯一の方法は、公開鍵を使用することです。これは、サービスプロバイダーが、自分が本人であることを認識する方法です。
このスキームには、いくつかのセキュリティ上の利点があります。まず、サインインには2つの異なる場所に保存された2つのキーが必要です。詐欺師がなんとかして公開鍵を盗んだり傍受したりしても、秘密鍵なしではログインできません。
さらに、パスワードとは異なり、暗号化キーを詰め込んだり、再利用したり、 フィッシングしたりすることはできません。言い換えれば、従来パスワードで機能していた攻撃のほとんどは、WebAuthnスキームに対して効果的ではありません。
新しいWeb標準は、ユーザビリティを向上させるだけでなく、セキュリティを向上させる技術革新の数少ない例の1つであるため、注目に値します。
それでは、パスワードは無効になっています。
確かに楽しみにしていますが、パスワードの消滅はまだ先のことだと考えています。 WebAuthnの背後にある技術が健全であることは誰の心にも疑いの余地はありませんが、克服すべきいくつかの障害がまだあります。
1つは、WebAuthnはWeb標準であり、その見た目は馬鹿げていますが、古典的な意味での「標準」という言葉は、オンラインの世界ではちょっとしたタブーです。たとえば、パスワードを取得します。私たちはそれらを主要なログインメカニズムとしてかなり長い間使用してきましたが、それらが最初に登場してから数十年経った今でも、強力なパスワードとは何かについては同意できません。ほぼ同じ方法で、明らかな利点にもかかわらず、ベンダーはWebAuthnをどれだけ迅速に実装すべきかという点で同じページに載っていないようです。
GoogleのChromeはWebAuthnをサポートする最初のブラウザーでしたが、業界のもう1つの有名企業であるFirefoxがWebAuthnを実装したのは数か月後のことでした。マイクロソフトはWebAuthnをEdgeに組み込むことに甘んじており、AppleはまだSafariのサポートを実験しています。モバイル環境では状況はそれほど変わりません。先週、FIDOは、Android 7.0以降を実行するすべての携帯電話とタブレットがまもなくFIDO認定されることを発表しました。 WebAuthnはFIDO2プロトコルの中核にあり、これらのデバイスがパスワードなしのログインを効果的にサポートすることを意味します。残念ながら、AppleのiOSに標準がいつ組み込まれるかについての情報はまだありません。また、すべてのベンダーが新しいデバイスにWebAuthnを採用している場合でも、置き去りにされるレガシーシステムの山を無視することはできません。
もちろん、ハードウェアベンダーがそれを採用した後、ウェブサイトとアプリケーションの開発者はすべて、ログインメカニズムとしてそれを実装する必要があります。つまり、WebAuthnがすぐにパスワードを完全に置き換える可能性は低いということです。そして、それが完了するまで、アカウントが可能な限り十分に保護されていることを確認する必要があります。
Cyclonis Password Managerのようなパスワード管理アプリケーションを使用するのが最善の方法です。これを使用すると、長く複雑なパスワードを覚えることを心配することなく作成できます。この時代、あなたの脳に頼ってこれを行うことは単に良い考えではありません。CyclonisPassword Managerにすべての作業を任せることの最良のことは、ブラウザー拡張機能の自動入力および自動ログイン機能がさらに便利になることです。 。