今日、W3C (Web標準本体) およびFIDOAlliance (パスワードを置き換えるためのより簡単で強力な認証を提供するために懸命に取り組んでいます)h安全なパスワードなしの接続のためのWebAuthn標準を完成させたと発表しました。
Web認証 は、パスワードの盗難とデータ漏えいによって引き起こされるセキュリティコンテキストです。 2016年3月、WXNUMXC Web認証ワーキンググループ(WebAuthn)とFIDO Alliance(Fast IDentity Online)は、さまざまなブラウザーの認証標準であるWebAuthn標準の仕様に関するドラフトを公開しました。
その目的は、任意のWebサイトまたはオンラインサービスがアプリケーション、セキュリティキー、または生体認証データをログインとして使用できるようにすることです。 パスワードの代わりに、またはこれらの代替アプローチをXNUMX番目の検証方法として使用します。
この規格は、ユーザーがインターネットに接続するときにパスワードを入力する必要をなくすことを目的としています。
まあ 主な目的は、Webアプリケーションへのアクセスを確保することです。
今こそ、Webサービスと企業がWebAuthnを採用して、パスワードの脆弱性を防ぎ、Webユーザーのオンラインエクスペリエンスのセキュリティを強化するときです」とJeffJaffe氏は述べています。
W3C CEOがパスワードを確定する取り組みの成功についてコメントしたのは、これらの言葉によるものです。
そしてまあ、今日 WebAuthnは現在、公式のWeb標準であり、世界中のユーザーがWebをより安全で使いやすくするための重要なステップであると彼らは考えています。
現在、彼らはオンラインプラットフォームにこの新しい標準を採用するよう求めています。
「Webアプリケーションとサービスはこの機能を有効にすることができ、有効にする必要があります。これにより、ユーザーはバイオメトリクス、モバイルデバイス、またはFIDOセキュリティキーを介して、言葉だけでなくはるかに高いセキュリティで簡単に接続できます。 パスワード「」、W3CとFIDOアライアンスを共同で議論します。
FIDO2とWebAuthn:パスワードの問題の解決策
参考までに、FIDO2はW3CWeb認証仕様とFIDOAllianceクライアント認証プロトコル(CTAP)を満たしています。
FIDO2およびWebAuthn経由、XNUMXつの組織は、グローバルな技術コミュニティが一般的なパスワードの問題に対する一般的な解決策を開発しました-パスワードの盗難、フィッシング、およびこのタイプの他のタイプの攻撃に対する人間工学的ソリューション。
FIDO2は、従来の認証に関連するすべての問題を解決します。 W3CおよびFIDOアライアンスからのプレスリリースで説明されているように:
セキュリティ: FIDO2の暗号化ログイン資格情報は各Webサイトで一意であり、ユーザーの端末から送信されたりサーバーに保存されたりするパスワードなどの生体情報やその他の秘密情報はありません。
このセキュリティモデルは、フィッシング、あらゆる形態のパスワード盗難、および「リプレイ」攻撃のリスクを排除します。
快適さ: ユーザーは、指紋リーダー、カメラ、FIDOセキュリティキー、またはモバイルデバイスなどの便利な方法で接続します。
機密性: FIDOキーは各Webサイトに固有であり、サイト間の追跡には使用できません。
スケーラビリティ: Webサイトは、すべてのブラウザーとプラットフォームで簡単なAPI呼び出しを使用してFIDO2を有効にできます。
WebAuthnは時間を節約し、セキュリティを提供します
2017年のVerizonSecurityの調査では、 W3C AllianceとFIDOは、パスワードの有効性が失われたことが今では確立されていると説明しています。
デフォルトのパスワード、低いパスワード、または盗まれたパスワードは、データ侵害の81%を引き起こすだけでなく、時間とリソースを浪費します。
また、セキュリティキープロバイダーのYubicoによる最近の調査にも言及していますが、 ユーザーがパスワードの入力またはリセットに年間10.9時間費やし、企業に年間平均5.2万ドルの費用がかかると述べています。
WebAuthnはすでにサポートされています
Web認証 すでにWindows10とAndroid、およびWebブラウザをサポートしています Google Chrome、Mozilla Firefox、Microsoft Edge、およびApple Safari(プレビュー中)。
これは、採用が正しい方向に進んでいることを示しています。 FIDO Allianceは、ブラウザまたはプラットフォームに標準を実装する準備ができているベンダー向けの認証プログラムも開始しました。 これにより、パスワードの終了が高速化されます。
出典 www.w3.org