W3CとFIDO Alliance - パスワード不要の安全なログインが勧告化に
主要なブラウザやプラットフォームでは、生体認証、モバイル機器、FIDOセキュリティキーによる簡単で安全なログインのための新しいWeb標準のサポートが組み込まれています
https://www.w3.org/ 2019年3月4日 マウンテンビュー・カリファルニア – W3C (ワールド・ワイド・ウェブ・コンソーシアム)とFIDOアライアンスは本日、Web Authentication(WebAuthn。以下、Web認証)仕様を正式発表し
ました。この技術は世界中のユーザーにとってWebをより安全に、そしてより使いやすくするための大きな前進です。
W3C WebAuthn勧告により、 FIDOアライアンスのFIDO2仕様 (1) における中心的構成要素であるWeb認証は、シンプルで堅牢な認証を実現するためのブラウザ・プラットフォーム標準となります。それはWindows 10、Android、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari (preview) などのWebブラウザにおいて既にサポートされています。Web認証により、ユーザーは好みのデバイスを使ってインターネットアカウントにログインすることができます。Webサービスとアプリケーションは、ユーザーが生体認証、モバイルデバイス、FIDOセキュリティキーのいずれか、またはパスワードとの組み合わせによる、はるかに高いセキュリティを利用して簡単にログインができるこの機能を有効にできます ー そして、この機能は必ず有効にすべきです。
Webサービスと各種ビジネスにWeb認証を採用して、Web上のセキュリティを向上させ、脆弱なパスワードやユーザーのセキュリティを向上させる時がきました。W3Cの勧告はウェブ全体の相互運用性のガイダンスを確立し、Webユーザーとユーザーが閲覧するサイトに確実性を備えます。W3Cは最も効率のよい実装を自らのサイトにも適用しています。」と述べています。
パスワードの盗難、フィッシング、リプレイ攻撃などに対するユーザフレンドリーなソリューション
パスワードの有効性が信頼できるものではないことは広く認識されています。 データ漏洩の81%が、パスワードの盗難のみならず、脆弱もしくは、デフォルトのパスワードの利用によって発生しており、これらは時間と資源の浪費となっています。最近のYubico社の調査によると、ユーザーは年間10.9時間、パスワードの入力や再設定を行っているため、企業の年間平均コストは520万ドルに上ります。 SMSワンタイムコードのような従来の多要素認証(MFA)ソリューションは 別のセキュリティ層を追加しますが、それらは依然として フィッシング攻撃に対して脆弱であり、使い勝手が悪く、オプトインの比率が下がる影響が出ます。
FIDO2とWeb認証によって、グローバルなテクノロジーコミュニティは、共有パスワードの問題に対する共有ソリューションを提供するために協業しました。FIDO2は、従来の認証に関するあらゆる問題に対処しています。
- セキュリティ:FIDO2の暗号学的ログイン認証情報は、すべてのWebサイトにわたり固有のものであり、バイオメトリクスまたはパスワードなどの秘密はユーザーのデバイスから漏洩することはなく、そしてサーバーに保存されることもありません。このセキュリティモデルは、フィッシング、あらゆる形式のパスワード盗難、およびリプレイ攻撃のリスクを排除します。
- 利便性:ユーザーは指紋センサー、カメラ、FIDOセキュリティキー、または自分の個人用モバイルデバイスなどの便利な方法でログインします。
- プライバシー:FIDOで利用されるキー(鍵)は各インターネットサイトで固有のものであるため、サイト間での追跡には使用できません。
- 拡張性:Webサイトでは、サポートされているすべてのブラウザおよびプラットフォームで、消費者が毎日使用している何十億ものデバイスで、単純なAPIの呼び出しを介してFIDO2を有効にできます。
公式Web標準としてのWeb認証は、Web上の認証を堅牢化するための実用的なソリューションを長年にわたって開発するという業界の協業における頂点です。このマイルストーンの達成により、私たちは、ユビキタスでハードウェアに裏付けされたFIDO認証によってインターネットを利用するすべての人を保護する新たな時代へと移行しています。」と述べています。
はじめに
FIDO2仕様とブラウザ/プラットフォームのサポートを行う準備が整っているサービスプロバイダとベンダに向けて、FIDOアライアンスはテストツールを提供し、認定プログラムを開始しています。現在、さまざまなユースケースをサポートするFIDO2認定ソリューションが多数あり、その中には、既に認定を受けた全範囲のFIDO認証器との完全な下位互換性を担保するため、FIDO2そして以前のすべてのUAFおよびU2FデバイスなどをサポートするFIDO認定ユニバーサルサーバーが含まれます。
FIDO2およびFIDO認定プログラムへの参加に関心のある開発者および製品ベンダーに向けたより多くの資料は、FIDOアライアンスWebサイトでご覧いただけます。
(1) FIDO2は、W3CのWeb認証仕様(WebAuthn)と それに対応するFIDOアライアンスのClient to Authenticator Protocol(デバイス間連携仕様。以下、CTAP)で構成されています。
FIDO Allianceについて
「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online) アライアンス www.fidoalliance.org は、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。 堅牢な認証技術に相互運用性が確保されていない状況を改善し、ユーザーが多くの IDとパスワードを覚えなければならないという煩わしさを解消することを目的としています。FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な 「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。FIDO認証はオンラインサービスの利用時に、堅牢でプライバシーが確保された便利な認証を提供します。
W3C (World Wide Web Consortium)について
W3C (ワールド・ワイド・ウェブ・コンソーシアム)の使命は、世界中の人々にとってWebがオープンでアクセス可能で相互運用可能であることを保証するための技術標準とガイドラインを作成することによって、Webを最大限に活用することです。W3Cは、HTML5、CSS、Open Web Platformなどの広く知られた仕様を開発し、セキュリティとプライバシーに取り組んでいます。これらはすべてオープンで作成され、無料で独自のW3C特許ポリシーの下で提供されます。W3Cは、オンラインビデオをキャプションと字幕でよりアクセシブルにするための作品として、2016年のエミー賞を受賞しました。
「One Web」に対するW3Cのビジョンには、400を超える会員組織と数10の業界部門を代表する何千人もの真摯な技術者が集まっています。W3Cは、米国のMITコンピュータ科学・人工知能研究所(MIT CSAIL)、フランスに本部を置く欧州情報数学研究会(ERCIM)、日本の慶應義塾大学、中国の北京航空航天大学が共同で運営しています。詳細についてはhttps://www.w3.org/を参照してください。
End Press Release
FIDO Alliance PRコンタクト先
Megan Shamas, Montner Tech PR, +1.203.226.9290
<press@fidoalliance.org>
W3C メディアコンタクト担当
Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.253.5628 (US, Eastern Time)
