WebAuthnとは

WebAuthnとは

WebAuthn(Web Authentication API)は、W3C(World Wide Web Consortium)が策定したWebブラウザ向けの認証標準だよ。パスワードを使わずに生体認証やセキュリティキーでログインするためのAPIで、FIDO2仕様の重要な構成要素なんだ。

技術的な仕組み

WebAuthnは公開鍵暗号を使った認証を行う。

• 認証器(Authenticator): デバイスの生体認証チップ、YubiKeyなどのハードウェアキー、スマートフォンなど
• リライングパーティー(RP): 認証を行うWebサービス側
• クライアント: ブラウザ

ブラウザのWebAuthn APIが認証器と通信して、サービス側との暗号学的な認証を仲介するんだ。

フィッシング耐性の秘密

WebAuthnが特に優れているのはフィッシング耐性だよ。登録時に指定したドメインと認証時のドメインが一致しないと認証されない仕組みになってる。偽サイトに誘導されても、WebAuthn認証は絶対に通らないんだ。

ブラウザのサポート状況

Chrome、Firefox、Safari、Edge のすべての主要ブラウザがWebAuthnをサポートしてるよ。スマートフォンのブラウザも対応済みで、指紋・顔認証でそのままログインできる環境が整ってきてるね。

パスワードとの併用期

現在は多くのサービスでパスワードとWebAuthnを併用している移行期だよ。将来的にはパスワードが不要な世界が来るかもしれないね。