FIDOアライアンスおよびW3C、「パスワード」無用の仕組みを提案

「パスワード」という仕組みは、非常に脆弱だ。極端にいってしまえば、セキュリティ対策としては「意味のない」仕組みであるということに、多くの人が同意してくれることだろう。しかし、われわれは依然としてパスワードに頼りきって生活している。パスワードは、覚えておく利用者自身にも負担になるだけでなく、盗むのも難しくなく、重要な場面で役に立たないものなのだ。そのような中、FIDOとW3Cが、WebAuthnというウェブ閲覧時のパスワードを不要とするプロトコルを開発している。

Google、Mozilla、およびMicrosoftも、仕様が定まった段階で本プロトコルの採用を表明している。セキュリティキーやスマートフォンなどの外部デバイスを利用して認証処理を行うようになっている。このプロトコルでは、認証を必要とするウェブサイトと、BluetoothやUSB、あるいはNFCなどを通じて直接通信を行うことにより、利用者の介入をなくす仕組みになっている。これによりフィッシングなどの可能性を0にできるとうたっている。

そう、新しい仕組みに移行することで、数週間毎に新しくする、20文字程度のセキュリティ神への捧げもの(パスワード)から開放されるだけでなく、流行のセキュリティリスクをなくすこともできるわけだ。パスワードを入力しない以上、フィッシングや介入者攻撃(man-in-the-middle attack)などにより、セキュリティ情報を奪われる可能性もなくなる。認証のためのトークンは必要なときにのみ生成されることとなり、それ以外のときには必要なくなるのだ。

WebAuthnの仕様は、ユースケースについても詳しく説明している。たとえば、ノートパソコンを利用して認証を要するウェブサイトにアクセスする場合についても記述されている。この場合、IDとパスワードを入力する従来の方法に変わり、スマートフォンを利用して認証を行うようになっている。利用者は、スマートフォンに表示されるメッセージに応答するだけで、パスワードなどの入力は無用となるのだ。

FIDO Allianceのエグゼクティブ・ディレクターであるBrett McDowellも、新たな仕組みのメリットを語っている。すなわち、情報漏えいや信用情報の盗用が行われる中、パスワードないしワンタイムパスワードなどという脆弱なシステムに頼るのをやめることを目的としているとのこと。ウェブやアプリケーションで、新たな認証システムを採用することにより、これまでに比べてはるかに安全な認証システムを実現できるのだとのことだ。

ただし、今のところはWebAuthnもファイナル段階に至っていない。しかし勧告候補(Candidate Recommendation:CR)段階となっている。すなわち、最終段階の直前にまで達しているというわけだ。

もちろん、どんなセキュリティ対策にも「完ぺき」はないだろう。新しいプロトコルに対しても、欠陥を突く仕組みが登場してくるのは時間の問題なのだろう。しかし、パスワードを排除しようとする流れ自体は正しいものだと思われる。多くの人が、パスワードという仕組みからの脱出を狙ってきたわけだが、WebAuthnはその流れの中から出てきたシステムなのだ。

原文へ

(翻訳:Maeda, H

W3Cが宣言: HTML5の標準規格は最終的に確定した

4年あまり前にSteve JobsがFlashに対する宣戦布告をして、HTML5の時代の幕開けを告げた。HTML5の標準規格は1997年のHTML4の後継規格だが、これまで長年、いろんなところで語られ、ブラウザによる実装もされてきたから、とっくに完成・確定した規格だと思っている人も多いだろう。でも実際にはHTML5は…今日までは…まだ流動的部分の多い標準規格だった。そして今日W3Cは、長年新たな機能を次々と加え、変更を加えてきたその規格の最終バージョンを、Recommendation of HTML5として発行した。

しかし、ユーザにとって気がつく変化は何もない。ほとんどのブラウザが、<video>成分やベクタグラフィクスなど、HTML5の機能の多くをすでにサポートしている(あなたが職場でInternet Explorerの古いバージョンの使用を強制されている人でなければ)。HTML5がここ数年でWebにもたらしたそのほかの重要な新機能としては、2Dのグラフィクスやビットマップ画像を描画できる<canvas>成分、ブラウザ内で数学的な記法を表示できるMathML、オフラインのキャッシングやドラッグ&ドロップなどいろんな機能を実現できるAPI集などがある。

 

W3CのディレクターTim Berners-Leeは、今日の声明文の中でこう言っている: “今日のわれわれは、ブラウザだけでビデオやオーディオを鑑賞することを当たり前と思っている。携帯電話でWebブラウザが使えることを、当たり前と思っている。どこにいても、どんなデバイスの上でも、写真を共有し、買い物をし、ニュースを読み、情報を見つけることができる、と思っている。多くのユーザがまだ気づいていないが、HTML5とOpen Web Platformが、そんな認識や期待を育てているのだ”。

W3CのHTML作業部会の共同議長でMicrosoft Open TechnologiesのPartner Group Manager Paul Cottonによると、HTML5の主要な達成物は、“Webサイトを作るWebデベロッパが頼りにできる一連の相互運用的な機能を定義できたこと”、だそうだ。

相互運用性とは関係のない機能、たとえばデジタル著作権の管理などは、すべてHTML5.1に回された。HTML 5.1は来年早々にもリリースされる可能性があり、作業部会はHTML5に入れられなかった機能に関する作業を今後続ける。

HTML5の多くの機能の中で、Cottonがずば抜けて重要と見なすのが<video>タグだ。それぐらい今のWebは、ビデオの比重が大きい。

これまでの標準規格策定作業の間には、最終リコメンデーションの発行は2020年ごろ、という感触もあった。しかしW3Cが”Plan 2014″という企画を作ったことによって、今日の発行にこぎつけた、とCottonは語る。いろんな利害を抱える人たちがいろんな妥協を図ってきたが、その中でも最大の妥協が、この、最終発行日に関する妥協だそうだ。

“Plan 2014″が2014年に発行する道筋として選んだのは、議論が決着しない要素の検討を、並行して行われる別路線にすることだ。そうやって別途進められてからHTML5に入った機能の例が、<ruby>とその関連成分だ。HTML5に入らず、独立の規格になりそうなのが、’long description’(画像などの長い説明文)だ。

Cottonによると、W3CやHTML作業部会のような組織にとってチャレンジは、オープンスタンダートに関する環境の進化と、それらの変化への対応だ、という。

“たとえばデベロッパが日常の仕事のために使うGitHubやソーシャルメディアなどのツールは、昔はなかったものだ。だから作業部会が明日のデベロッパにも役立つものを作ろうと思ったら、われわれ自身もそんな今日的な変化に合わせて進化しなければならない”。

作業部会だけでなくW3C自身も、今日の声明の中で、標準規格の次のバージョンでは、コアな“アプリケーションの基盤”的機能に目を向ける必要がある、と言っている。それらは、セキュリティ、プライバシー、デバイス間対話、アプリケーションのライフサイクル、メディア、リアルタイムコミュニケーション、ソーシャルWeb関連のサービス、支払決済、アノテーションなどだ。デベロッパがこれらの機能をWebで容易にサポートできるためには、やはりHTML本体が必要な成分等を提供した方がよい。〔つまりAPIの高度化、充実。〕

HTML5の最終リコメンデーションを終えたW3Cは、ただちにバグフィクスに取り組む。そして、もっと重要なHTML 5.1にも。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))