Jump to navigation Jump to content

Speaker

Ryo Ito

Ryo Ito

OpenID ファウンデーション・ジャパン エヴァンジェリスト

Actions

OpenID ファウンデーション・ジャパン エヴァンジェリスト

Sessions

Chrome + WebAuthn で実現できるパスワードレスなユーザー認証体験と開発者の課題

最近、「FIDO 2.0」「Web Authentication(WebAuthn) API」「生体認証」といったキーワードを目にする機会が増え、いわゆる「パスワードレスなユーザー認証」がすぐそこまで来ています。
フィッシング攻撃、漏洩からの〜パスワードリスト攻撃、最大文字数や統一されない使用可能文字など、パスワード認証に関わる苦々しい記憶からついに抜け出すことができると注目されています。

Android と FIDO のこれまでの経緯としては、2017年12月に次のような発表がありました。
* FIDO UAF 1.1技術仕様を実装した初のFIDO(R) Certified(認定)製品が利用可能になった
* Android 8.0以降のデバイスへのFIDO認証導入が容易になった
キャリアのアカウント設定で生体認証が利用できたり、生体認証に対応したアプリを用いてインターネットバンキングアプリにログインできる事例も出てきました。

また、Androidアプリに関わる開発者にとって生体認証に関わる機能自体は新しいものではないでしょう。
* 2015年 : Android 6.0 Marshmallow : FingerPrintManager
* 2018年6月 : Android P(Android 9 Pie) : BiometricPrompt
このように生体認証を取り巻く環境は確実に変化しているものの、
まだまだ「アプリやサービスに生体認証 "のみ" でログイン」よりも「画面ロック解除」の用途としてのイメージが強いように感じます。

今回のセッションで扱う "WebAuthn" はWebアプリから生体認証やセキュリティキーを用いた認証を可能にする仕組みです。
Chrome の新しいバージョン(70)では "WebAutnn" で Android の指紋認証、 Mac の Touch ID をサポートしているため、Chrome + WebAutnn を組み合わせることでWebサービスに Android の指紋認証を用いてログインできるようになります。
パスワードレスなユーザー認証の普及の障壁だったWebサービスへの生体認証への導入が今後普及することにより、モバイルアプリにおける生体認証にも影響を与え、業界全体で安心安全なユーザー認証をできる世界に向かっていけると考えられます。

本セッションではその準備として、以下の内容を予定しています。
* WebAutnn 概要
* Chrome + WebAuthn でできること
* Webサービス開発者は何をする必要があるか
* 新規サービスで導入する際の注意点、パスワード認証からの移行方法など

Android/Chromeで体験できる認証のための標準化仕様の現在と未来

パスワード認証の限界が語られ、"パスワードレス" という用語が使われ始めてから数年が経ちました。
実際に、我々の周りにあるユーザー認証の仕組みはどう変わったでしょうか?パスワードは完全になくなりましたか?

残念ながら、パスワード認証はまだたくさんのサービスで使われています。
しかし、2段階認証はGoogleが本格的にコンシューマ向けに始めてから10年以上経ってようやく一般的になりつつあります。
パスワード認証の後にSMSやEメールで短い文字列を送信したり、Google Authenticatorが表示した文字列を利用しているサービスはたくさんあります。
FIDOはどうでしょう。指紋認証などでモバイルアプリやWebアプリにログインできるサービスも少しずつ出てきています。
また、GoogleやAppleのような巨大プラットフォーマーが提供するID連携機能を利用するアプリも少しずつ増えています。
このような様々な認証機能は、Web標準規格やブラウザのAPI実装によって実現されています。

これらの仕組みですが、今後はどう進化していくと思われますか?
直感的に想像できることといえば「手元のスマホを使ってログイン」することでしょう。
これはいわゆる "Decoupled Authentication" という考えであり、認証処理を行う端末とその結果を利用するサービスが動作する端末が分離することで様々なユースケースへの適用が考えられます。

本セッションでは

* WebOTP
* OATH(TOTP)
* FIDO, WebAuthn, passkey
* Identity Federation & FedCM

といったキーワードについて、

* AndroidのChrome環境でどう動くのか
* PCのWebアプリケーションとAndroid端末との組み合わせで何が実現できるのか

といったあたりを、デモ動画等を交えて解説します。

* 個別の仕様はどういうもので、現在はどのように使われているのか
* 将来はどうなる(ことを夢見ている)のか

という、現在と未来の姿を想像できることを目的とします。本セッションにより、少しでも世の中のサービスの認証機能が安全安心、利便性に優れたものになるきっかけとなれば幸いです。

Ryo Ito

OpenID ファウンデーション・ジャパン エヴァンジェリスト

Actions

Please note that Sessionize is not responsible for the accuracy or validity of the data provided by speakers. If you suspect this profile to be fake or spam, please let us know.

Jump to top