2018年3月、FIDO Alliance(Fast IDentity Online)とW3C Consortiumは重要なマイルストーンに到達しました:2年の開発の後、 Web Authentication (WebAuthn)標準は推奨候補 (CR)のステータスを受け取りました-これは基本的な変更を行う予定のないドキュメントの安定したバージョンです。 CR ディスカッションは5月1日に終了しました。
次は? 今こそ、Google、Mozilla、Microsoftの番です。 Web認証APIサポートが2つのブラウザに独立して互換性を持って実装されている場合、標準は推奨の提案ステータスを受け取ります。 この時点で、コミュニティからのすべての提案が考慮されます-そして、ドキュメントは最終承認のためにW3C諮問委員会に提出されます。
Web認証APIに加えて、拡張フレームワークを検証するために、FIDO AppIDをサポートする2つのブラウザーに独立した互換性のある実装が必要であることに注意してください。 その他の拡張機能は、互換性がなく、2つのブラウザに独立して実装されている場合、承認前の最終段階で標準から除外できます。
したがって、標準は実際に受け入れられます。 FIDO Allianceの代表者は、Google、Mozilla、MicrosoftがWindows、Mac、Linux、Chrome OS、Androidプラットフォームのブラウザーで対応するAPIのサポートをすぐに実装すると確信しています。作業はすでに進行中です。 Web Authentication Working Groupには、すべての主要なブラウザの開発者を含む30以上の組織の代表者が含まれています。そのため、それらのサポートはそれほど長くかかりません。 この段階で、ワーキンググループはWebサービスおよびアプリケーション開発者を招待してWebAuthnを実装します 。
開発者と一般ユーザーに新しい標準を提供するものは何ですか?
WebAuthnは、ブラウザーおよび関連するWebプラットフォームでサポートされる標準APIをインストールします。
ユーザーのメリット
- 利便性の向上
- 組み込みの認証システム:コンピューター、ラップトップ、携帯電話の指紋スキャナーまたは顔認証。
- 便利な外部オーセンティケーター:CTAPプロトコルを使用するデバイス間の認証用の暗号トークンとモバイルデバイス。
- 強化された保護
- FIDO認証は、単純なパスワード保護よりも信頼性があります。
- アカウントは、フィッシング、MiTM攻撃、パスワード漏洩から保護されています。
YubiKeyトークンを使用したAzureクラウドでのパスワードレス認証の 3つの方法:新しいWeb認証API標準の最初の実用的な実装の1つ
WebAuthnは、FIDO(Fast IDentity Online)アライアンスと連携して開発され、デバイス間のデバイス間認証のためのクライアントから認証プロトコル(CTAP)仕様とともに、FIDO2プロジェクトの主要コンポーネントになります。
ユニバーサル認証システム
CTAPを使用して、外部認証(暗号化トークンなど)は、USB、Bluetooth、またはNFCを介してインターネットに接続されたローカルデバイス(コンピューターまたは携帯電話)に暗号化された資格情報を送信します。
したがって、FIDO2仕様は、デスクトップコンピューターまたはモバイルデバイスを介したオンラインサービスで、シンプルで信頼性の高い認証を提供します。 最も重要なことは、これはプラットフォーム、ブラウザ、サービスなどに依存しない統合認証です。Web認証API標準および対応するプロトコルがサポートされている場合は、唯一の認証子が動作するはずです。 これは、パスワードリーク、フィッシング、MiTM攻撃、およびその他の深刻な情報セキュリティ問題との闘いにおける深刻なアプリケーションです。 Twitterが最近バグを発見した場合でも、 すべてのユーザーパスワードがプレーンテキストでログに記録されたため、私は何を言うことができます 。 インターネット上のセキュリティの状況は望まれているものが多く、通常のパスワード保護は信頼できません。
「セキュリティは、インターネットが社会にもたらすプラスの効果の多くを妨げる問題であり続けてきました。 多くのWebセキュリティの問題があり、修正されていませんが、 パスワードの依存関係は最も弱いリンクの1つです。 W3CコンソーシアムのCEO、Jeff Jaffeは次のように述べています。 「WebAuthnは、人々がWebで作業する方法を変えます。」
実際、すべてのインターネットユーザーを保護するためのユビキタスハードウェア認証の新時代が迫っています。
もちろん、認証子の普遍的な配布とはほど遠い。 現在、Web認証APIサポートがどのように実装されており、実際にどのように機能するかについての最初の例のみを見ています。
動作中の最初のWeb認証APIデモの1つは、YubiKeyトークンを使用したAzureクラウドのパスワードレス認証プロジェクトで、MicrosoftとYubicoトークンの製造元によってホストされました 。 この最近リリースされた FIDO2認証トークンは、Windows 10およびMicrosoft Azure Active Directory(Azure AD)でサポートされています。 2018年4月のリリースの時点で、この機能はMicrosoft Technology Adoption Programのサブスクライバーのみが使用できました。 そして、このYubiKeyトークンは、FIDO2をサポートする市場で最初のものでした。
汎用Web認証API標準の一部としてFIDO2を採用することにより、FIDOオーセンティケーターの使用が拡大します。これは、数年にわたって別のソリューションで使用されてきました。 FIDO2対応のブラウザーとWebサービスは、パスワードレスUAF認証および2要素U2F認証用の以前に認証されたFIDOキーと下位互換性があります。
FIDO2は、 YubicoとGoogleが作成した元のFIDOユニバーサル2ファクター(U2F)標準の高度なバージョンです 。 U2Fではユーザー名とパスワードの使用が必要でしたが、FIDO2はパスワードなしのスキームなど、より多くのユースケースをサポートしています。
FIDO2パスワードレス認証は、単一要素または2要素のいずれかになります。同じYubiKeyトークンは、通常のスマートカードとは異なり、サーバーに認識されないハードウェアピンコードをサポートします。 したがって、トークンは2つの認証要素を表します。「あなたが持っているもの」(デバイス自体)と「知っているもの」(ピンコード)です。
残念ながら、パスワードレス認証には欠点があります。 たとえば、YubiKeyトークンを紛失した場合、バックアップキーのみが役立ちます(ユーザーが作成した場合)。 ただし、この場合、後で以前の(失われた)サービスを呼び出すことができるように、すべてのサービスのバックアップキーを事前に登録する必要があります。 ただし、Web認証プラットフォームはさまざまなオーセンティケーターをサポートしているため、ユーザーは別の方法でサービスにログインできます。
そのため、Google、Mozilla、MicrosoftがすべてのプラットフォームでWeb認証とFIDO2の完全なサポートを実装するのを待つことは今も残っています。 3社すべてが、それぞれFirefox、Chrome、およびEdgeのWeb認証APIの完全サポートを発表しました。 Opera Softwareの代表者は、Web Authentication Working Groupのメンバーでもあります。
次に、Webサイトおよびさまざまなサービスの開発者がプロセスに接続します。 各ユーザーは、サイトでの承認に使用するのに便利なパスワードなしの認証方法を選択できます。フィンガースキャナー、YubiKeyなどのトークンなどです。
FIDO Allianceはまもなく、FIDO2仕様に従ってサーバー、クライアント、認証システムの認証を開始します。 関連するテストツールは、公式Webサイトで入手できます 。 開発者向けのヘルプリソースはこちら 。 Yubicoは、CTAP2 / WebAuthnサーバーサポートサンプルのサーバーコードのベータ版をリリースしました: C 、 Python、およびJavaライブラリ。
「スポーツのためのサイバー防御の強化」というアクションを発表しました!
GlobalSignは、すべてのアスリートとサッカーファンの最も野心的なイベントのお祝いに参加します-2018年のサッカー世界選手権と1年間のSSL保護を提供!*
プロモーション条件:
* DV、OV、またはEVレベルの1年SSL証明書を購入すると、2年目はギフトとして受け取ります。
•プロモーションは、すべてのスポーツ関連のWebサイトに適用されます。
•プロモーションは新規注文に対してのみ有効であり、パートナーには適用されません。
•この特典を利用するには、WebサイトでプロモーションコードSL003HBFRを添え てリクエストを送信して ください 。
プロモーションは2018年7月15日まで続きます。
GlobalSign Russiaのマネージャーからキャンペーンに関する追加情報を電話で入手できます:+7(499)678 2210。
GlobalSignでより多くの保護を!