WebAuthnとは何ですか？

Web上でパスワード不要の認証を実現するW3C標準規格。生体認証やセキュリティキーを使って、フィッシングに強い安全な認証をブラウザ上で行える。FIDO2の一部として策定されている。

WebAuthnのポイントは？

W3Cが策定したパスワードレス認証のWeb標準。公開鍵暗号方式を使い、秘密鍵はデバイスから外に出ない。フィッシング耐性が非常に高い（サイトごとに異なる鍵を使用）。主要ブラウザとOSが対応済み

【うぇぶおーすん】

💡 パスワードの時代は終わり、指紋やキーで安全ログイン

📌 このページのポイント

WebAuthnの認証フロー

ひよこ

WebAuthnって何がすごいの？

ペンギン先生

パスワードを使わずに、指紋認証やセキュリティキーでWebサイトにログインできる仕組みだよ。しかもフィッシングサイトには認証情報が送られないから、フィッシング攻撃にめちゃくちゃ強いんだ

ひよこ

どうしてフィッシングに強いの？

ペンギン先生

WebAuthnはサイトのドメインと紐づいた鍵ペアを使うんだ。本物のサイトのドメインでしか認証が通らないから、偽サイトに誘導されても認証情報が送られないんだよ

ひよこ

パスキーってWebAuthnのこと？

ペンギン先生

パスキーはWebAuthnの技術を使いやすくしたものだね。AppleやGoogleが推進していて、iCloudやGoogle アカウントで鍵をデバイス間で同期できるようにしたんだ。WebAuthnの普及版と考えていいよ

ひよこ

もう対応してるサービスは多いのかな？

ペンギン先生

Google、Apple、Microsoft、GitHub、Amazonなど大手はどんどん対応しているよ。技術的には主要ブラウザとOSが全て対応済みだから、あとはサービス側の実装が進むだけだね。パスワードの時代は確実に終わりに向かっているよ

まとめ：ざっくりこれだけ覚えればOK！

「WebAuthn」って出てきたら「パスワード不要でWebサイトにログインできる標準規格」と思えればだいたいOK！

📖 おまけ：英語の意味

「Web Authentication」＝ Web認証

💬 W3CとFIDO Allianceが共同で策定した規格で、パスワードに代わる認証の本命と言われているよ