FIDO2とWebAuthnについて
この記事が気になった。
そもそもFIDO2ってなんだ?
上記から拝借した図によると
もともとFIDOと呼んでいたのは図の「FIDO AUTHENTIACTION」の部分で
FIDOクライアントとFIDOサーバ間の認証メッセージを標準化したものという理解だが
FIDO2は、W3CのWeb認証仕様(WebAuthn)とFIDOの対応するClient-Authenticator Protocol(CTAP)で構成されており、共通のデバイスを利用してモバイル環境とデスクトップ環境の両方でオンラインサービスを簡単に認証できます。
FIDO2はWebAuthnとCTAPのことであり
WebAuthn→ WebブラウザーがJavaScriptを用いて秘密鍵にアクセスするためのAPI
CTAP→ クライアントと外部認証器間の通信をサポートする認証プロトコル
(こちらを参照しました)
ということなので、
WebAuthnでブラウザがFIDO認証するのを簡単にし
CTAPでFIDO認証器として動作する機器のプロトコルを標準化することで
FIDOの利用拡大を狙ったもの →FIDO2 という感じかな?
で、冒頭の記事では
ということらしい。
World Wide Web Consortium(ワールド・ワイド・ウェブ・コンソーシアム)は、World Wide Webで使用される各種技術の標準化を推進する為に設立された標準化団体、非営利団体。略称はW3C(ダブリュースリーシー)。
そしてW3Cが標準として批准するには段階があり
- 作業草稿 (Working Draft, WD)
- 勧告候補 (Candidate Recommendation, CR)
- 勧告案 (Proposed Recommendation, PR)
- W3C勧告
となるらしい。勧告候補になったくらいで正直ニュースになるほどなのかいまいちそのへんの感覚はわからないが
それよりもGoogle、Mozilla、マイクロソフトが各々のブラウザに実装すると表明したことが大きい気はする。(ちなみにアップルは表明してない)
でも、確かにこれでWebサービスで気軽にFIDO認証を取り入れられるようになったら、パスワードからの解放に確かに一歩近づく。
パスワード運用にあたって、複雑性や定期変更の良し悪しなどが最近話題にあがるがそもそもユーザに負担を強いる仕組みは技術で改善すべきだと自分は思う。
簡単なパスワードを付けたりいろいろなサイトでパスワードを使いまわしてしまい、結果事故にあったとして、それはパスワードに対する意識が低いのが悪いのでありユーザが悪い、というのはおかしい。
ユーザがストレスなくサインインでき、かつセキュアで間違いなく本人しかログインできない認証の仕組みに変えていかないといけないし、FIDOはそれに一番近いのではと思う。
