正式に完成したWebAuthn標準

W3CとFIDO Allianceは、 WebAuthnのパスワードレス認証標準の 完成を発表しました 。これは2015年から導入されています。 後で詳しく説明します。





/ Flickr / Mark Burnett / CC BY （写真のサイズ変更）

なぜ標準が必要なのですか

脆弱なパスワードは、企業におけるデータ漏洩の最も一般的な原因のままです。 Verizonによると 、彼らはほとんどの攻撃に責任を負っています-ケースの81％。 パスワードポリシーに本当に取り組んでいる組織は、これに多くのリソースを費やしています。 Ponemon Instituteによると、認証データのリセットおよび更新手順には、企業に年間520万ドルの費用がかかります。



認証の分野における一般的な状況について話す場合、ケンブリッジ大学の専門家のデータを参照できます。 2010年に、彼らは150の大規模サイトのセキュリティポリシーを分析し、それらの57％がTLSを使用していないことを発見しました。 同時に、サイトの84％で認証データを際限なく選択できます。



9年後、暗号化の広がりの状況は改善されましたが、それでも特定の懸念が生じています-2018年第3四半期のWatchGuard統計によると、10万のAlexaトップサイトのほぼ21％がHTTPSを使用していません 。



ここでは、WebAuthnのパスワードレス認証標準が助けになります。 彼は上記の問題を解決しなければなりません 。 その開発者は、パスフレーズの代わりに、指紋、網膜、顔などの生体認証データの使用を提案しています。

仕組み

認証プロセスには3つのエンティティが関与しています。 最初はWebAuthn Relying Partyです。 ユーザーが行きたいサイトです。



2番目のエンティティはWebAuth APIです。 これは、登録とログインを行う2つの基本メソッド、 navigator.credentials.create（）およびnavigator.credentials.get（）に基づいています。 新しいアカウントを登録するときにアクセスの詳細を作成し、キーペアを既存のアカウントに関連付けます。 別の-サイトでの承認に既知のデータを使用します。 どちらの方法も、安全な接続を使用して情報を送信します（たとえば、HTTPS）。



3番目の実体は固有識別文字です。 ユーザー資格情報を管理し、公開アカウントキーを生成します。



一般に、サイトでの承認手順は次のようになります。

• ユーザーはサイトにアクセスし、パスワードなし認証のオプションを選択します（たとえば、電話を使用）。
• サイトは、対応するJavaScript要求をWebAuthnクライアント（ブラウザー）に送信します。
• ブラウザはオーセンティケータ（スマートフォン）にアクセスして、キーを生成し、それらを証明書利用者に送信します。
• サーバーはログイン情報を確認します。
• すべてが正常である場合、ユーザーはサイトで許可されています。

フィッシングから保護するために、標準では特定のセッションに関連付けられた特別なトランザクションを使用しています。 サーバーは、識別子が変更されたことに気づいた場合、リクエストが詐欺師からのものであることを理解し、承認を確認しません。

可能性と欠点

WebAuthn の作成者によると、新しい標準の実装は、パスワード、したがってパスワードに関連付けられている脆弱性を取り除くのに役立ちます。 FIDO Allianceの上級認定エンジニアであるYuri Ackermann氏は、パスワードなしのログインはユーザーをフィッシングから保護し、サイトとのやり取りを簡素化し、生体認証技術をよりアクセスしやすくすると言います。



ブログでYuriのインタビューを公開し、 Webセキュリティとパスワードなしのソリューションについて話しました。

「WebAuthnは、インターネットリソースとの対話方法を変えることができます」と、 IaaSプロバイダー1cloud.ruの開発責任者であるセルゲイベルキンは述べています 。 -ユーザーはパスワードを考案して覚える必要はありません。 ただし、これまでは、Webサイトの所有者とアプリケーション開発者は標準の使用を開始する必要があります。 Google、Dropbox、Bank of Americaで既に実装されています。 しかし、パスワードレス認証が普及するまでには時間がかかります。

ただし、多くのセキュリティの専門家は、WebAuthnが非対称ECDAA暗号化スキームを使用しているという事実を懸念しています。 デジタル署名を作成する必要があります。 Paragonのエンジニアは 、 楕円曲線 （ECDAAが使用）に基づく暗号化手法を使用することは、多くの潜在的な脆弱性のために安全ではないと考えています。



Paragonは、標準の作成者自身も批判しました。 伝えられるところでは、大規模な暗号テストを実施するための標準を提供せずに、IT業界の主要な暗号作成者と相談せず、「密かに」開発を主導しました。



しかし、上記のすべてにもかかわらず、Paragon Initiativeの代表者は、パスワードなしの認証の可能性を信じており、WebAuthnの大規模な実装を支持しています。



WebAuthnは、最も一般的なブラウザとOSですでにサポートされています。 この標準の完成は、パスワードのないシステムの普及に向けた最初の一歩に過ぎませんでした。

企業ブログで書いていること：

• ファイルのバックアップ：データ損失から安全にする方法
• 個人データを保護する方法とそれを保護する対象
• 個人データ：パブリッククラウド機能