3月 15, 2019

W3CとFIDO Alliance – パスワード不要の安全なログインが勧告化に

主要なブラウザやプラットフォームでは、生体認証、モバイル機器、FIDOセキュリティキーによる簡単で安全なログインのための新しいWeb標準のサポートが組み込まれています

https://www.w3.org/ 2019年3月4日 マウンテンビュー・カリファルニアW3C (ワールド・ワイド・ウェブ・コンソーシアム)FIDOアライアンスは本日、Web Authentication(WebAuthn。以下、Web認証)仕様を正式発表しました。この技術は世界中のユーザーにとってWebをより安全に、そしてより使いやすくするための大きな前進です

W3C WebAuthn勧告により、 FIDOアライアンスのFIDO2仕様 (1) における中心的構成要素であるWeb認証は、シンプルで堅牢な認証を実現するためのブラウザ・プラットフォーム標準となります。それはWindows 10AndroidGoogle Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari (preview)などのWebブラウザにおいて既にサポートされています。Web認証により、ユーザーは好みのデバイスを使ってインターネットアカウントにログインすることができます。Webサービスとアプリケーションは、ユーザーが生体認証、モバイルデバイス、FIDOセキュリティキーのいずれか、またはパスワードとの組み合わせによる、はるかに高いセキュリティを利用して簡単にログインができるこの機能を有効にできます ー そして、この機能は必ず有効にすべきです。

W3C CEO (最高経営責任者)のジェフ・ジャフェは、「Webサービスと各種ビジネスにWeb認証を採用して、Web上のセキュリティを向上させ、脆弱なパスワードやユーザーのセキュリティを向上させる時がきました。W3Cの勧告はウェブ全体の相互運用性のガイダンスを確立し、Webユーザーとユーザーが閲覧するサイトに確実性を備えます。W3Cは最も効率のよい実装を自らのサイトにも適用しています。」と述べています。

パスワードの盗難、フィッシング、リプレイ攻撃などに対するユーザフレンドリーなソリューション
パスワードの有効性が信頼できるものではないことは広く認識されています。 データ漏洩の81%が、パスワードの盗難のみならず、脆弱もしくは、デフォルトのパスワードの利用によって発生しており、これらは時間と資源の浪費となっています。最近のYubico社の調査によると、ユーザーは年間10.9時間、パスワードの入力や再設定を行っているため、企業の年間平均コストは520万ドルに上ります。 SMSワンタイムコードのような従来の多要素認証(MFA)ソリューションは 別のセキュリティ層を追加しますが、それらは依然として フィッシング攻撃に対して脆弱であり、使い勝手が悪く、オプトインの比率が下がる影響が出ます。

FIDO2とWeb認証によって、グローバルなテクノロジーコミュニティは、共有パスワードの問題に対する共有ソリューションを提供するために協業しました。FIDO2は、従来の認証に関するあらゆる問題に対処しています。

  • セキュリティ:FIDO2の暗号学的ログイン認証情報は、すべてのWebサイトにわたり固有のものであり、バイオメトリクスまたはパスワードなどの秘密はユーザーのデバイスから漏洩することはなく、そしてサーバーに保存されることもありません。このセキュリティモデルは、フィッシング、あらゆる形式のパスワード盗難、およびリプレイ攻撃のリスクを排除します。
  • 利便性:ユーザーは指紋センサー、カメラ、FIDOセキュリティキー、または自分の個人用モバイルデバイスなどの便利な方法でログインします。
  • プライバシー:FIDOで利用されるキー(鍵)は各インターネットサイトで固有のものであるため、サイト間での追跡には使用できません。
  • 拡張性:Webサイトでは、サポートされているすべてのブラウザおよびプラットフォームで、消費者が毎日使用している何十億ものデバイスで、単純なAPIの呼び出しを介してFIDO2を有効にできます。

FIDOアライアンスのエグゼクティブディレクターであるブレット・ マクドウェルは、「公式Web標準としてのWeb認証は、Web上の認証を堅牢化するための実用的なソリューションを長年にわたって開発するという業界の協業における頂点です。このマイルストーンの達成により、私たちは、ユビキタスでハードウェアに裏付けされたFIDO認証によってインターネットを利用するすべての人を保護する新たな時代へと移行しています。」と述べています。

TWEET THIS: #WebAuthn is an official web standard via @w3c @FIDOAlliance. This is a major step forward in making the web more secure — and usable — for users around the world https://fidoalliance.org/w3c-and-fido-alliance-finalize-web-standard-for-secure-passwordless-logins

はじめに
FIDO2仕様とブラウザ/プラットフォームのサポートを行う準備が整っているサービスプロバイダとベンダに向けて、FIDOアライアンスはテストツールを提供し、認定プログラムを開始しています。現在、さまざまなユースケースをサポートするFIDO2認定ソリューションが多数あり、その中には、既に認定を受けた全範囲のFIDO認証器との完全な下位互換性を担保するため、FIDO2そして以前のすべてのUAFおよびU2FデバイスなどをサポートするFIDO認定ユニバーサルサーバーが含まれます。

FIDO2およびFIDO認定プログラムへの参加に関心のある開発者および製品ベンダーに向けたより多くの資料は、FIDOアライアンスWebサイトでご覧いただけます。

FIDO Allianceについて
「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online) アライアンス www.fidoalliance.org は、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。 堅牢な認証技術に相互運用性が確保されていない状況を改善し、ユーザーが多くの IDとパスワードを覚えなければならないという煩わしさを解消することを目的としています。FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な 「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。FIDO認証はオンラインサービスの利用時に、堅牢でプライバシーが確保された便利な認証を提供します。

W3C (World Wide Web Consortium)について
W3C (ワールド・ワイド・ウェブ・コンソーシアム)の使命は、世界中の人々にとってWebがオープンでアクセス可能で相互運用可能であることを保証するための技術標準とガイドラインを作成することによって、Webを最大限に活用することです。W3Cは、HTML5、CSS、Open Web Platformなどの広く知られた仕様を開発し、セキュリティとプライバシーに取り組んでいます。これらはすべてオープンで作成され、無料で独自のW3C特許ポリシーの下で提供されます。W3Cは、オンラインビデオをキャプションと字幕でよりアクセシブルにするための作品として、2016年のエミー賞を受賞しました。

「One Web」に対するW3Cのビジョンには、400を超える会員組織と数10の業界部門を代表する何千人もの真摯な技術者が集まっています。W3Cは、米国のMITコンピュータ科学・人工知能研究所(MIT CSAIL)、フランスに本部を置く欧州情報数学研究会(ERCIM)、日本の慶應義塾大学、中国の北京航空航天大学が共同で運営しています。詳細についてはhttps://www.w3.org/を参照してください。

FIDOアライアンス PR Contact

Megan Shamas Montner Tech PR 203-226-9290 [email protected]

W3C PR Contact

Amy van der Hiel W3C Media Relations Coordinator [email protected] 1.617.253.5628 (US, Eastern Time)

Testimonials

Duo Security (Cisco)

“The WebAuthn specification is a major and collaborative leap forward in the evolution of simpler, stronger user authentication. As pioneers in the authentication space, Duo Security knows that for security to be effective, it has to be easy. WebAuthn’s security and privacy protections, built-in phishing resistance and ease-of-use give it the potential to drive widespread adoption across enterprise and consumer markets, making everyone safer as a result. True passwordless authentication has been sought for a long time – today, we’re closer to realizing that goal with WebAuthn.” – James Barclay, Senior R&D Engineer, Duo Security, a Cisco business unit

Google

“The fact that users get phished is not really their failing. It was a gap in the internet infrastructure that made them vulnerable. With today’s announcement, the internet community is closing that gap. The internet infrastructure now has the tools to provide user friendly phishing-resistant authentication at scale. Google has been part of this journey since the earliest days, we introduced Security Key based authentication in 2014, the Advanced Protection Program in 2017, and the Titan Security Key in 2018. Now with W3C WebAuthn and FIDO2 client support coming across all major client platforms, an expanded set of capabilities is enabled. We look forward to leveraging these to offer our users additional new intuitive login experiences that are phishing-resistant.” – Sam Srinivas, Product Management Director, Google and President, FIDO Alliance

Microsoft

“Our work with W3C and FIDO Alliance, and contributions to FIDO2 standards have been a critical piece of Microsoft’s commitment to a world without passwords, which started in 2015. Today, Windows 10 with Microsoft Edge fully supports the WebAuthn standard and millions of users can log in to their Microsoft account without using a password.” – Alex Simons, Corporate Vice President, Program Management, Microsoft Identity Division

Mozilla

“Out of all multi-factor authentication solutions I know of, Web Authentication is our best technical response to the scourge of phishing. Protecting individuals’ privacy and security is fundamental to Mozilla, and Web Authentication plays a key role in that protection. Mozilla supports the advancement of Web Authentication, and its end-goal of a phishing-free future for all the web.” – J.C. Jones, Cryptography Engineer, Mozilla

Nok Nok Labs

“Providing an alternative to phishable and inconvenient passwords that works across devices, apps, browsers, and websites has been the mission of Nok Nok Labs since our inception. The Web Authentication API is an important step towards the goal of enabling simple and strong authentication on the devices we use in our daily lives. It is imperative that the industry as a whole continues to add support for FIDO Authentication into all platforms to better protect consumers in our digital world.” – Rolf Lindemann, Sr. Director of Products at Nok Nok Labs

Yubico

“Today’s standardization of W3C’s WebAuthn marks a milestone in the history of open authentication standards and internet security. Together, we achieved the near-impossible: the creation of a global standard supported by all platforms and browsers. Yubico is grateful to be a part of this journey and we look forward to the possibilities this is going to open for seamless, ubiquitous security for all internet users.” – Stina Ehrensvard, CEO and Founder, Yubico


(1) FIDO2は、W3CのWeb認証仕様(WebAuthn)と それに対応するFIDOアライアンスのClient to Authenticator Protocol(デバイス間連携仕様。以下、CTAP)で構成されています。

Download Specs
Sign up for updates!Get news from FIDO Alliance in your inbox.

By submitting this form, you are consenting to receive communications from: FIDO Alliance, 3855 SW 153rd Drive, Beaverton, OR 97003, US, http://www.fidoalliance.org. You can revoke your consent to receive emails at any time by using the unsubscribe link found at the bottom of every email.