指紋や顔認証がWebサイトで使える。W3Cが新しい認証仕様WebAuthnを勧告候補に
パスワードを忘れたり、使いまわしにまつわる心配も無用に
連載
注目記事
アップル新製品イベントは日本時間3月28日0時から。ウワサの低価格iPadはPencil対応か
ソニーの左右独立スマートイヤホン Xperia Ear Duo、遮音性『ほぼゼロ』の開放感が魅力
速報:Galaxy S9 / S9+発表。カメラが大幅強化、可変絞りレンズなど新機軸採用
人気記事
トイザらス、日本含むアジア事業を売却へ。すでに1000億円以上で複数の買い手が応札
ダブルノッチなZTE製スマホコンセプト「Iceberg」がデザイン賞サイトで公開。2画面の次は2つのノッチか
ネット画面の保存もGalaxyはラクラク。縦長画面も簡単に保存、手書きメモも:Galaxy Tips
Webサービスにはほぼ必ずついて回るパスワード。一時期は定期的な変更が必要と言われていましたが、最近はむしろ変更しないほうが安全だとの認識が広まり、総務省の国民のための情報セキュリティサイトでも定期的な変更は不要とされています。
しかし、パスワードの使い回しが危険なことに変わりはなく、また、フィッシング詐欺などにより、パスワードが流出する恐れもあります。
ならば、そのパスワード自体を不要にしようと、セキュリティーキーで利用されるU2F規格を提供するFIDOアライアンスとHTMLやCSSなどをはじめとするWEB技術の標準化を勧めるW3Cが、WEB認証の新しいプロトコルとなる「WebAuthn(Web Authentication)」を策定。このたびついに、W3C勧告案の一歩手前、勧告候補(CR)となりました。
WebAuthnは、GoogleやFacebookが2段階認証で利用しているスマートフォンを使用した認証に似ていますが、パスワードを使用しないのが大きな特徴です。
手順としてはWebサイト上でユーザーIDを入力し、あとはスマートフォン上に表示されるメッセージに従い指紋認証や顔認証などを行えば認証完了となります。スマートフォンだけではなく、PCの指紋センサやカメラ、USBやBluetooth、NFCなどで接続する外部機器も利用可能です。
WebAuthnならば、パスワードを覚える必要がないだけでなく、フィッシングサイトなどでパスワードを盗まれる心配もありません。また、そもそもパスワードがないので使い回しによる被害の拡大も防げます。
いいことばかりのように思うので、すぐにでも広まってほしい技術ですが、利用するにはWebサイトとブラウザが対応している必要があります。幸いブラウザ側はGoogle、Microsoft、Mozillaという大手がサポートを表明済みです。
とはいえ、Webサイト側での対応も必要となるため、本格的な普及には時間がかかるものと考えられます。しかし近い将来(認証デバイスの管理という別の問題も発生しそうではあるものの)パスワード管理の煩雑さから開放されるのは確かなようです。
