多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。
しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。
そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況も引き起こしてしまいます。
この状況を改善するために、パスワードに依存した認証ではなく公開鍵暗号などを用いることでWebの安全性や利便性をより高めようと、W3Cが標準化を進めているのが「
Web Authentication」(WebAuthn)です。
WebAuthnは4月10日、W3Cの
勧告候補になったことが発表されました。同時にGoogle、Mozilla、マイクロソフトは「WebAuthn」のサポートを表明。それぞれのブラウザでの実装開始も発表されました。
WebAuthnとFIDO2の技術とは?
WebAuthnは、「FIDO Alliance」(ファイドアライアンス)が策定した認証技術「FIDO2」を構成する技術の1つです。W3CとFIDO Allianceは協力してこの「FIDO2」の実現と普及を目指しています。