-
1:以下、名無しがお送りします
WebAuthn APIってなんだよ どんなことができるんだ?
-
8:以下、名無しがお送りします
WebAuthn APIはWeb Authentication APIの略だな パスワードレス認証とか二要素認証を実現するためのAPI JavaScriptで使える
-
13:以下、名無しがお送りします
>>8 パスワードレス認証? パスワード使わないでどうやって認証するんだ?
-
19:以下、名無しがお送りします
>>13 生体認証とかセキュリティキーみたいなデバイスを使うんだと パスワード使わないから フィッシングとかパスワード流出のリスクがないらしい
-
28:以下、名無しがお送りします
二要素認証にも使えるのか SMSとかワンタイムパスワードの代わりになるのかな?
-
38:以下、名無しがお送りします
>>28 そうだな WebAuthnならスマホの指紋認証とかセキュリティキーみたいなデバイスを第二の認証要素として使えるからSMSより安全らしい
-
39:以下、名無しがお送りします
WebAuthnってブラウザがサポートしてないと使えないんじゃないの?
-
42:以下、名無しがお送りします
>>39 ChromeとかFirefox、Edge、Safariの最新版なら大体使える モバイルのブラウザでも使えるらしい
-
52:以下、名無しがお送りします
WebAuthnを使うと ユーザー登録とかログインの処理はどうなるの?
-
57:以下、名無しがお送りします
>>52 ユーザー登録の時は 公開鍵を作ってサーバーに登録する感じだな ログインの時はその公開鍵に対応する秘密鍵で署名して サーバーで検証するらしい
-
64:以下、名無しがお送りします
>>57 秘密鍵ってユーザーが管理するの? 紛失したりしたらどうなるの?
-
68:以下、名無しがお送りします
>>64 秘密鍵はセキュリティキーとかに保存されるから ユーザーが直接管理する必要はないんだと デバイスをなくしても 新しいデバイスを登録し直せばいいらしいぞ
-
75:以下、名無しがお送りします
WebAuthnって具体的にはどういうAPIなの? JavaScriptから呼び出すの?
-
79:以下、名無しがお送りします
>>75 navigator.credentials.create() とか navigator.credentials.get() みたいなメソッドがあるみたいだな ユーザー登録とログインに使うらしい
-
84:以下、名無しがお送りします
>>79 navigator.credentialsって初めて聞いたわ これWebAuthn専用のAPIなの?
-
94:以下、名無しがお送りします
>>84 いや Credential Management APIの一部みたいだぞ WebAuthnはその拡張って感じらしい
-
102:以下、名無しがお送りします
WebAuthnのユースケースってどんなのがあるの?
-
106:以下、名無しがお送りします
>>102 パスワードなしでログインできるWebサービスとか セキュリティキーでの二段階認証ログインとかに使えるんじゃないかな
-
114:以下、名無しがお送りします
>>106 Googleのアカウントとかで スマホの指紋認証使ってログインできるのって WebAuthn使ってるのかな?
-
116:以下、名無しがお送りします
>>114 そうかもしれないな Googleは割と早くからWebAuthnをサポートしてるらしいし
-
122:以下、名無しがお送りします
WebAuthnのメリットって パスワードレスと二要素認証以外にもあるの?
-
125:以下、名無しがお送りします
>>122 フィッシング対策とかにもなるんじゃないかな パスワード入力させる偽サイトに誘導されても WebAuthnなら認証情報が漏れる心配がないし
-
126:以下、名無しがお送りします
>>125 なるほど 確かにそうだな パスワード使わないんだから フィッシングのリスクは減りそう
-
129:以下、名無しがお送りします
WebAuthnってネイティブアプリでも使えるの? それともWebアプリ専用?
-
136:以下、名無しがお送りします
>>129 Webアプリ専用だと思うぞ ブラウザのAPIだからな ネイティブアプリならプラットフォームごとの生体認証APIとか使うんじゃないか
-
146:以下、名無しがお送りします
WebAuthnを使うと 開発者側の実装は大変になったりしない?
-
154:以下、名無しがお送りします
>>146 ある程度のブラウザ対応は必要だけど パスワード認証に比べれば 処理はシンプルになるんじゃないかな 秘密鍵の管理とかもブラウザ任せだし
-
161:以下、名無しがお送りします
>>154 サーバーサイドの実装は 結構変わりそうだけどな 公開鍵暗号方式の認証に対応しないといけないし
-
167:以下、名無しがお送りします
>>161 そうだな 慣れてる人は少ないかもしれないけど ライブラリ使えば何とかなるんじゃないか?
-
174:以下、名無しがお送りします
WebAuthnって ユーザービリティ的にはどうなの? 利便性下がったりしない?
-
183:以下、名無しがお送りします
>>174 パスワードレス認証なら ワンタップでログインできるから むしろ便利になるんじゃないかな
-
184:以下、名無しがお送りします
>>183 セキュリティキーが必須だと 持ち歩くのが面倒かもしれないけどな
-
191:以下、名無しがお送りします
>>184 まあスマホの生体認証が使えるなら そんなに不便じゃないかもな
-
198:以下、名無しがお送りします
WebAuthnの認証情報って サーバー側で再利用できたりするの?
-
208:以下、名無しがお送りします
>>198 いやできないはずだぞ 公開鍵暗号方式だから 認証のたびにチャレンジレスポンスが変わるんだと
-
210:以下、名無しがお送りします
>>208 じゃあ認証情報漏れても 悪用は難しいってことか
-
213:以下、名無しがお送りします
>>210 そうだな サーバー側に秘密鍵がないから 認証情報からパスワードみたいに復元することもできないし
-
214:以下、名無しがお送りします
WebAuthnって 結局どのくらい普及するんだろうな
-
215:以下、名無しがお送りします
>>214 パスワードの問題が解決できるなら けっこう普及するんじゃないか? 大手のWebサービスが導入し始めてるし
-
224:以下、名無しがお送りします
>>215 普及するかどうかは ユーザーの受け入れ次第だろうな 利便性とセキュリティのバランス次第じゃないかな
ブラウザでユーザー認証するWebAuthn API?
コメント2件
パスワード不要の認証「WebAuthn」とは?|「FIDO」の構成技術を解説
「WebAuthn」とはパスワードに依存しない認証を実現するためのFIDO2を構成する技術の1つです。WebAuthnではアクセスする端末をあらかじめ設定されたPINコードや生体認証を用いてWebサー...
コメント(2件)
-
12024年4月10日 16:07
WebAuthnって名前かっこいいな
-
22024年4月10日 17:27
パスワードからの解放はよ