Google Chrome、Microsoft Edge、Mozilla Firefoxのサポートにより、FIDO2プロジェクトは、世界中のWebユーザーを保護するための、ユビキタスでフィッシングに強い強力な認証の新時代を切り開きます
カリフォルニア州マウンテンビュー、および https://www.w3.org/ — 2018年4月10日 —FIDO アライアンスとWorld Wide Web Consortium(W3C)は、世界中のユーザーにシンプルで強力なWeb認証を提供するための世界的な取り組みにおいて、主要な標準化マイルストーンを達成しました。 W3Cは、FIDOがW3Cに提出したWeb API仕様に基づく共同作業であるAdvanced Web Authentication(WebAuthn)を、Candidate Recommendation(CR)段階に進めています。 CRは、30を超えるメンバー組織の代表者で構成されるWeb認証ワーキンググループの製品です。 CRはWeb標準の最終承認の前段階であり、W3CはオンラインサービスとWebアプリ開発者に WebAuthnの実装を呼びかけています。
WebAuthnは、ブラウザおよび関連するWebプラットフォームインフラストラクチャに組み込むことができる標準のWebAPIを定義し、Web上、ブラウザ内、およびサイトやデバイス間で安全に認証するための新しい方法をユーザーに提供します。 WebAuthnは FIDO アライアンス と連携して開発され、FIDOの Client 認証器 Protocol(CTAP) 仕様とともに、FIDO2プロジェクトのコアコンポーネントです。 CTAPを使用すると、セキュリティキーや携帯電話などの外部認証器を使用して、USB、Bluetooth、またはNFCを介してユーザーのインターネットアクセスデバイス(PCまたは携帯電話)にローカルで強力な認証資格情報を通信できます。 FIDO2 仕様をまとめると、ユーザーはフィッシングに強いセキュリティを備えたデスクトップまたはモバイル デバイスを使用して、オンライン サービスに対して簡単に認証できます。
「本日発表された新しいFIDO2仕様と主要なWebブラウザサポートにより、FIDO認証をすべてのプラットフォームとデバイスでユビキタスにするための大きな一歩を踏み出しました」と、 FIDO アライアンスのエグゼクティブディレクターであるブレット・マクダウェルは述べています。 「何年にもわたってますます深刻化するデータ侵害とパスワード認証情報の盗難の後、サービスプロバイダーは今こそ、脆弱なパスワードとワンタイムパスコードへの依存をやめ、すべてのWebサイトとアプリケーションにフィッシングに強いFIDO認証を採用する時です。」
Google、 Microsoft、Mozillaは、主力ブラウザでWebAuthn標準をサポートすることを約束し、Windows、Mac、Linux、Chrome OS、およびAndroidプラットフォームの実装を開始しました。 WebAuthnとCTAPの両方の仕様が現在利用可能であり、開発者やベンダーは、次世代のFIDO認証のサポートを自社の製品やサービスに組み込むための迅速なスタートを切ることができます。
「ウェブ上のセキュリティは長い間、ウェブが社会にもたらす多くの肯定的な貢献を妨げてきた問題でした。Webセキュリティの問題はたくさんあり、すべてを修正することはできませんが、パスワードに頼ることは最も弱いリンクの1つです。WebAuthn の多要素ソリューションにより、この弱点を解消しています」と W3C CEO の Jeff Jaffe は述べています。 「WebAuthnは、人々がウェブにアクセスする方法を変えるでしょう。」
FIDO2標準化の取り組みの完了、W3C標準トラックに沿ったWebAuthnの推進、および主要なブラウザベンダーの実装へのコミットメントにより、インターネットを使用するすべての人にとって、ユビキタスなハードウェアベースのFIDO認証保護の新時代が開かれます。
フィッシング、中間者攻撃、盗まれた認証情報の悪用など、パスワードに関連するリスクから自社と顧客を保護したいと考えている企業やオンラインサービスプロバイダーは、ブラウザまたは外部認証システムを介して機能する標準ベースの強力な認証をすぐに展開できます。 FIDO認証を導入することで、オンラインサービスは、携帯電話やセキュリティキーなど、人々が毎日使用するデバイスの相互運用可能なエコシステムからユーザーに選択肢を提供することができます。
ブラウザやオペレーティングシステムで新しいFIDO2仕様が標準化されることで、世界中の規制当局や標準化団体が参照し、すでに数億台のデバイスで利用でき、 Googleなどの企業が提供するサービスを通じて世界中の35億以上のユーザーアカウントに提供されているFIDO認証の範囲がさらに広がります。 Facebook、NTTドコモ、バンク・オブ・アメリカなど。 新しい仕様は、既存のパスワードレスFIDO UAFと2要素FIDO U2Fのユースケースを補完し、FIDO認証の可用性を拡大します。 FIDO2 Webブラウザとオンラインサービスは、以前に認定されたすべてのFIDOセキュリティキーと完全な下位互換性があります。
FIDOはまもなく相互運用性テストを開始し、FIDO2仕様に準拠したサーバー、クライアント、認証器の認定を発行する予定です。 コンフォーマンステストツールは、FIDO のWebサイトで入手できます。 さらに、FIDOは、すべてのFIDO認証タイプ(FIDO UAF、FIDO U2F、WebAuthn、CTAP)と相互運用するサーバー向けに、新しいユニバーサルサーバー認定を導入します。
WebAuthnおよびFIDO2プロジェクトの利点
W3C の WebAuthn API は、ブラウザや関連する Web プラットフォーム インフラストラクチャに組み込むことができる標準の Web API であり、各サイトに対して強力で一意の公開鍵ベースの資格情報を可能にし、あるサイトから盗まれたパスワードが別のサイトで使用されるリスクを排除します。 認証器 を搭載したデバイスにロードされたブラウザで実行されるWebアプリケーションは、パブリックAPIを簡単に呼び出して、パスワード交換の代わりに、またはパスワード交換に加えて暗号化操作を使用して、ユーザーのよりシンプルで強力なFIDO認証を可能にすることができ、サービスプロバイダーとユーザーに多くの利点を提供します。
- よりシンプルな認証:ユーザーは、次のものを使用して、1つのジェスチャーでログインするだけです。
- PC、ラップトップ、および/またはモバイルデバイスの内部または組み込みの認証システム(指紋や顔の生体認証など)
- セキュリティキーやモバイルデバイスなどの便利な外部認証器は、WebAuthnを補完する FIDO アライアンス によって開発された外部認証器のプロトコルであるCTAPを使用したデバイス間認証に便利です
- より強力な認証:FIDO認証は、パスワードや関連する認証形式のみに依存するよりもはるかに強力であり、次のような利点があります。
- ユーザー資格情報と生体認証テンプレートは、ユーザーのデバイスから離れることはなく、サーバーに保存されることもありません
- アカウントは、盗まれたパスワードを使用するフィッシング、中間者攻撃、リプレイ攻撃から保護されます
- 開発者は、FIDOの新しい開発者向けリソースページで、FIDO認証を活用したアプリやサービスの作成を開始できます。
サポートするブラウザベンダーからの引用
Google Cloud セキュリティ、プロダクト マネジメント ディレクター、Sam Srinivas 氏
「Google Chrome は、より優れたウェブの構築に専念しています。開発者が構造化された方法で安全なキーストアと対話できるようにすることで、この使命を継続できます。FIDO内のU2FおよびFIDO2ワーキンググループの創設メンバーとして、これらの規格の立ち上げに興奮しており、継続的な協力を楽しみにしています。」
Dave Bossio、Microsoft、オペレーティング システム セキュリティ、グループ プログラム マネージャー
「デバイス、アプリ、ブラウザ、Webサイト間で機能するパスワードの代替手段を提供することで、パスワードのない未来へのコミットメントを実現します。FIDO アライアンスとの協力により、現在承認プロセス段階にあるWebAuthn APIと、Microsoft EdgeのW3Cのサポートを追加することを発表できることを嬉しく思います。」
Selena Deckelmann 氏 (エンジニアリング担当シニア ディレクター、Firefox ランタイム、Mozilla)
「Web 認証により、Firefox を使用しているユーザーに、ブラウジング体験にセキュリティをさらに強化する機会を提供しています。人々がオンラインでのセキュリティの管理方法をより細かく制御できるようにし、インターネットをより安全にすることは、Web をオープンですべての人がアクセスできるようにするという Mozilla の使命の中心です。」
FIDO アライアンスについて
FIDO(Fast IDentity Online)アライアンス( www.fidoalliance.org)は、強力な認証技術間の相互運用性の欠如に対処し、ユーザーが複数のユーザー名とパスワードを作成して記憶する際に直面する問題を解決するために、2012年7月に設立されました。 FIDO アライアンスは、パスワードへの依存を減らすオープンでスケーラブル、相互運用可能な一連のメカニズムを定義する、よりシンプルで強力な認証の標準により、認証の性質を変えています。 FIDO認証は、オンラインサービスへの認証において、より強力でプライベートで使いやすいものです。
W3Cについて
World Wide Web Consortium (W3C) の使命は、Web が世界中のすべての人にとってオープンでアクセス可能で相互運用可能なままであることを保証するための技術標準とガイドラインを作成することにより、Web の可能性を最大限に引き出すことです。 W3C は、HTML5、CSS、Open Web Platform などのよく知られた仕様を開発し、セキュリティとプライバシーに関する作業を行っていますが、これらはすべてオープンに作成され、独自の W3C 特許ポリシーに基づいて無料で提供されています。
W3C のビジョンである「One Web」は、400 以上の 会員組織 と数十の業界を代表する数千人の専任技術者を結集しています。 W3C は、米国の MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL)、フランスに本部を置く European Research Consortium for Informatics and Mathematics (ERCIM)、 日本の慶應義塾大学 、 中国の Beihang University が共同で主催しています。
FIDO アライアンス PR連絡先
マイク・スミスまたはエイドリアン・ロス
モントナーテックPR
203-226-9290
fidopr@montner.com
W3C PR 連絡先
エイミー・ファン・デル・ヒール
W3C メディアリレーションズコーディネーター
w3t-pr@w3.org
+1.617.253.5628 (米国東部時間)