WebAuthn

何か

FIDO Alliance(Fast IDentity Online)が発表した標準仕様FIDO2の一部として策定され、ブラウザ経由でパスワードレス認証を可能にする仕組み

FIDO2とは？

パスワードやSMS OTPよりもセキュアにID認証を行える認証規格

なぜ使うか

パスワード認証よりも簡単によりセキュアな認証方法を提供するため

嬉しいこと

クレデンシャルとなる秘密鍵は認証器に保存されているため、ユーザはパスワードを暗記する必要がありません。そのため、パスワードを忘れたり他人に見られたりすることはありません。

サービス提供者はパスワードの代わりに公開鍵を保存することになります。そのため、オペミスや外部からの攻撃によって、パスワードを漏洩することがなくなります。もちろんその際公開鍵が流出されることになり、パスワード漏洩と同じ深刻だと感じる人がいるかもしれませんが、サーバ管理者にとって秘密情報が含まれているパスワード（ハッシュ化済みのものにしても）を管理するに比べると、セキュリティリスクが低くなると言えるでしょう。

ネットワーク経路上にパスワードが流れるとがなくなり、認証プロセスがより安全になります

どのように使うか

パスワードの代わりに公開鍵/秘密鍵を使って認証を行う。サーバー側は公開鍵を保持しクライアント側は秘密鍵を保持する。

認証フロー

https://scrapbox.io/files/634f5fb7378cc7001d0e286b.png

いつ使うか(具体的な事例など)

すでにメジャーブラウザ(chrome, firefox, edge, opera, chrome android, firefox android, etc..)で実装されている

参考