日本語
  • webauthn
  • passkey
  • mfa

WebAuthnを統合する前に知っておくべきこと

WebAuthnの基本的な概念を紹介し、WebAuthnの統合時により良い決定を下すための手助けを目指します。

Sijie
Sijie
Developer

WebAuthnは従来のパスワードに比べてより安全でユーザーフレンドリーな代替手段を提供します。その人気は上昇しており、この技術を採用するウェブサイトの数も増えています。あなた自身のウェブサイトにWebAuthnを統合しようという意欲があるなら、あなたは一人ではありません。ただし、比較的新しい技術であるため、それについて多くの疑問を抱いているかもしれません。

WebAuthnのウェブサイトやアプリケーションへの統合を考えるとき、これらのキーコンセプトと考慮事項を理解することで、その導入をどうするかについての情報に基づいた決断を下すことができます。

WebAuthnとPasskeysは何ですか?

定義を確認しましょう:

  • Web Authentication API(WebAuthn)Credential Management API の拡張です。これにより、SMSのテキストを必要とせずに、パスワードレスで安全な多要素認証(MFA)を実現する公開鍵暗号化を強化します。
  • Passkeys は私たちの多くが耐えてきた伝統的な「パスワード + 第二要素」のアプローチに対するWebAuthnベースの興味深い代替手段を表します。この文脈では、PasskeysはWebAuthnの標準で特定のユースケースです。

パスキーをクロスデバイスで使用できますか

はい、2つの方法で複数のデバイスでPasskeyを使用できます:

  1. パスワードマネージャーを通じた同期:iCloud Keychain、Google Password Manager、1Passwordなどの人気のあるパスワードマネージャーはPasskeyを同期させることができます。登録応答で「クロスプラットフォーム」とマークされたPasskeysは、GitHubの「同期」タグのように、様々なデバイスで使用できます。
  2. QRコードとBluetooth:別のデバイスからサインインするためにQRコードとBluetoothを使用する別のアプローチがあります。この方法は、ユーザーが異なるプラットフォーム上のアカウントにアクセスするのに柔軟性を提供します。

単一の認証方法として使用できますか

絶対に、WebAuthnは非常に安全な認証要素です。Passkeyには「ユーザーID」が含まれ、認証時には、「ユーザーID」が識別子としてサーバーに認証されます。この「ユーザーID」は、ユニバーサルに一意な識別子(UUID)や他の一意な識別子(メールアドレス、電話番号、ユーザー名など)である可能性があります。ユーザーは、「ユーザーID」を最初に入力した後に有効なPasskeyを検索するか、現在のドメインに関連付けられたリストからPasskeyを選択することができます。

今日の互換性はどうですか

WebAuthnは安全なコンテキスト(HTTPS)で使用でき、最新バージョンのほとんどのブラウザでサポートされています。詳しい互換性情報については、MDNのドキュメンテーションをご覧ください。

ドメインはPasskeyの主要な識別子です

WebAuthnのアクションでは、登録や認証の場合に限らず、「rp ID」(依存パーティID)は必須フィールドです。これは現在のWebページのドメインホスト名を表します。これが現在のドメインと一致しない場合、ブラウザはリクエストを拒否します。これは、Passkeysが特定のドメインに束縛されていることを意味し、現在、既存のPasskeysを別のドメインに移行する方法はありません。また、Passkeysは異なるドメイン間で使用することはできません。より詳しい情報については、この問題をご覧ください。

認証アプリ(TOTP)との比較

WebAuthnを、Time-based One-Time Passwords(TOTP)やAuthenticatorアプリなどの従来の二要素認証方法と比較すると、いくつかの利点が明らかになります。WebAuthnは、もっとユーザーフレンドリーで安全な認証体験を提供します。TOTPでは定数的に変わるコードを手動で入力する必要があるのに対し、またはAuthenticatorアプリはデバイスが盗まれると危険にさらされる可能性もありますが、WebAuthnは安全なハードウェアと生物学的特徴を利用して、シームレスで確固とした認証プロセスを提供します。

ただし、TOTPが簡単にバックアップできることやクロスデバイスで使用できることなど、その利点も注目に値します。これにより、ほとんど全てのデバイスと互換性を持つことができます。

結論

WebAuthnは間違いなくエキサイティングですが、ほかの画期的な技術同様、完全に理解することが重要です。この記事は、WebAuthnの統合に関する情報に基づいた決定を下すための必要な知識を身につけることを目指します。その潜在的な利益を考える際には、情報を得ることが成功の鍵であることを覚えておいてください。ちなみに、Logtoの次の大きな機能はWebAuthnをサポートし、シームレスで安全な認証のためのさらなる可能性を提供します。

今すぐLogtoを試す