「パスワード」という仕組みは、非常に脆弱だ。極端にいってしまえば、セキュリティ対策としては「意味のない」仕組みであるということに、多くの人が同意してくれることだろう。しかし、われわれは依然としてパスワードに頼りきって生活している。パスワードは、覚えておく利用者自身にも負担になるだけでなく、盗むのも難しくなく、重要な場面で役に立たないものなのだ。そのような中、FIDOとW3Cが、WebAuthnというウェブ閲覧時のパスワードを不要とするプロトコルを開発している。
Google、Mozilla、およびMicrosoftも、仕様が定まった段階で本プロトコルの採用を表明している。セキュリティキーやスマートフォンなどの外部デバイスを利用して認証処理を行うようになっている。このプロトコルでは、認証を必要とするウェブサイトと、BluetoothやUSB、あるいはNFCなどを通じて直接通信を行うことにより、利用者の介入をなくす仕組みになっている。これによりフィッシングなどの可能性を0にできるとうたっている。
そう、新しい仕組みに移行することで、数週間毎に新しくする、20文字程度のセキュリティ神への捧げもの(パスワード)から開放されるだけでなく、流行のセキュリティリスクをなくすこともできるわけだ。パスワードを入力しない以上、フィッシングや介入者攻撃(man-in-the-middle attack)などにより、セキュリティ情報を奪われる可能性もなくなる。認証のためのトークンは必要なときにのみ生成されることとなり、それ以外のときには必要なくなるのだ。
WebAuthnの仕様は、ユースケースについても詳しく説明している。たとえば、ノートパソコンを利用して認証を要するウェブサイトにアクセスする場合についても記述されている。この場合、IDとパスワードを入力する従来の方法に変わり、スマートフォンを利用して認証を行うようになっている。利用者は、スマートフォンに表示されるメッセージに応答するだけで、パスワードなどの入力は無用となるのだ。
FIDO Allianceのエグゼクティブ・ディレクターであるBrett McDowellも、新たな仕組みのメリットを語っている。すなわち、情報漏えいや信用情報の盗用が行われる中、パスワードないしワンタイムパスワードなどという脆弱なシステムに頼るのをやめることを目的としているとのこと。ウェブやアプリケーションで、新たな認証システムを採用することにより、これまでに比べてはるかに安全な認証システムを実現できるのだとのことだ。
ただし、今のところはWebAuthnもファイナル段階に至っていない。しかし勧告候補(Candidate Recommendation:CR)段階となっている。すなわち、最終段階の直前にまで達しているというわけだ。
もちろん、どんなセキュリティ対策にも「完ぺき」はないだろう。新しいプロトコルに対しても、欠陥を突く仕組みが登場してくるのは時間の問題なのだろう。しかし、パスワードを排除しようとする流れ自体は正しいものだと思われる。多くの人が、パスワードという仕組みからの脱出を狙ってきたわけだが、WebAuthnはその流れの中から出てきたシステムなのだ。
[原文へ]
(翻訳:Maeda, H)