Web 認証:基本認証 Web API はどのように使用されますか?

トピック

Cybersecurity, Compliance

Web 認証 (webauthn または FIDO2.0 とも呼ばれます) は、パスワードを時代遅れにする可能性のある認証標準です。ユーザーは、文字や数字を使用してアイデンティティを証明する代わりに、生体認証キー (指紋など) またはハードウェア (Yubikey のキーなど) を提供します。

長年にわたり、私たちはウェブサイトやサーバーにアクセスするためにパスワードを使用してきました。ログをオンにしたいときは、ユーザー名をタップし、文字と数字の文字列をアドオンして、私たちが主張している人物であることを証明します。

しかし、平均的なオフィスの従業員は、最大 40 種類の一意のユーザー名とパスワードの組み合わせを覚えておく必要があります。その高い要求は、繰り返しなどの悪い習慣につながり、セキュリティの取り組みを台無しにする可能性があります。

webauthnの簡単な歴史

パスワードはハッカーにとってキャットニップです。少しのコーディングの賢さと運があれば、ハッカーは組み合わせを推測したり、誰かにそれらを開示するように仕向けたりすることができます。Verizonは、ハッキング関連の侵害の80%以上が漏洩/侵害認証情報によって引き起こされていると述べています。何かを変えなければならなかった。

ウェブマスターは、2つの要素からなる認証方法を試しました。それには以下が含まれます。

登録。 ユーザーのプロファイルには、電話のようなデバイスが接続されていました。
ログイン。 ユーザーが名前とパスワードを入力しました。
要求。 サーバーは、認証されたデバイスにリクエストを送信しました。
完了。 ユーザーは、デバイスの指示に従ってサイトにアクセスしました。

ログインを試みて、電話にpingを送信するコードを待たなければならなかったことがあるなら、2つの要素による認証を使用したことになります。 ITは効率的そうに見えますが、実装は散発的でした。一部のWebサイトは、プロセスに独自のひねりを加えたいと考えており、ユーザーを苛立たせていました。また、中には、人々が理解できないような悪い経験をした人もいました。

World Wide Web Consortium (W3C) は、セキュリティを保護しながらユーザーエクスペリエンスを改善するために、何か新しく、より優れたものを求めていました。 2019年、グループ(グループ)は、そのためのWeb認証APIをリリースしました。

ITリリース以来、 webauthnは広く受け入れられています。 Fast Identity Online(FIDO)などのグループ(グループ)が参加したため、Amazon、Facebook、Microsoftなどの有名な会社概要もテクノロジーの実験を開始しました。

Web 認証のしくみ

webauthnは、パスワードを必要とせずにサーバーがユーザーを登録および認識できるようにするアプリケーション(アプリケーション)プログラミングインターフェイス、または APIです。多くのWebサイトには、一意のユーザー名とパスワードを使用してサインアップしてメンバーになることができるフォームがあります。webauthn は、そのすべてを置き換えます。

次の 2 つの主要な部分が関係しています。

登録。 ユーザー名と何らかの認証情報を入力する必要があります。顔の写真や指紋の印象などの生体認証データを提供したり、サードパーティが作成したハードウェアを登録して常に所有したりします。
認可。 認証情報が作成され、検証されると、通常はオペレーティングシステム内にある 認証者 と呼ばれるものに保存されます。

webauthn が有効になっている Web サイトにログインするには、ユーザーは次のことを行う必要があります。

登録する。 一意のユーザー名を選択するというおなじみのプロセスに従います。ただし、パスワードを選択する代わりに、生体認証データを提供するか、物理キーを登録します。
繰り返す。 サイトにログインするときはいつでも、パスワードと登録詳細の確認を提供する必要があります。

このプロセスを完了すると、認証情報と呼ばれるものが作成されます。これは、Web サイトのキー (1 つは公開キー、もう 1 つは非公開キー) のペアです。秘密鍵はプライベートデバイスに残り、他の場所には保存されません。公開鍵は、ストレージのためにサーバー上に置かれます。

これらのキーがどのように見えるか、またはどのように機能するかを知らないかもしれません。しかし、彼らは各ログイン試行で重要な役割を果たします。

サイトに再度ログインする準備ができたら、デバイスとサーバーは一連の手順を実行します。

企て： ユーザー名を入力するか、サーバーへのアクセスを許可するように指示します。システムから、キーの場所に関する指示を含む認証情報が送信されます。
接触： ブラウザは認証者と接続して、すべての正しいビットがあり、許可されるべきかどうかを判断します。
承認： 適切なピースがすべて揃っている場合は、認証者がログイン承認に署名し、IT部門を送ります。
サーバー連絡先: サーバーは、送信されたすべての情報を調べ、IT を確認して、ユーザーを許可します。

公開鍵と秘密鍵を使用することで、webauthnは非常に安全になります。何も覚えておく必要はありませんが、サイトに固有のユーザー名/パスワードを作成しました。要するに、パスワードのベストプラクティスに従わずに、パスワードのベストプラクティスに従っているのです。

webauthn の実装方法

W3C チームの目標は、広く採用することでした。彼らは、できるだけ多くのWebサイトがこのテクノロジーを使用してWebを保護することを望んでいました。その結果、彼らはシンプルさと使いやすさを念頭に置いてコードを作成しました。

webauthn は、認証情報の管理 APIを拡張したものです。 IT部門は、主に2つの機能を担当しています。

Navigator.認証情報.create は、新しいアカウントを登録したり、新しいキーを既存のアカウントとペアにしたりするために使用されます。
Navigator.認証情報.get は、既存の認証情報を持つユーザーをログインさせるために使用されます。

Googleは、統合手法はWebサイトによって大きく異なると指摘しています。シングルページアプリを実行している場合、ポップアップでいっぱいの複雑なサイトを持つ人とは異なる作業を行う必要があります。しかし、Googleは、コードを理解し、ITを適切に適用したいと考えている開発者に多くのサポートとアドバイスを提供しています。

また、変更についてユーザーを教育する必要もあります。たとえば、webauthn を (生体認証ではなく) ハードウェアキーのみで使用する場合、変更が公開されるずっと前に必要なアイテムを購入できるように、ユーザーを事前に十分に理解しておく必要があるかもしれません。

ウェブサイト認証は必要ですか?

レガシーログインシステムの変更は、あなたにとってもユーザーにとっても神経をすり減らすものです。しかし、新しいテクノロジーには、無視できない多くの利点があります。

webauthnをあなたのウェブサイトに組み込むと、次のものが得られます。

保護。パスワードを盗まれた人は、認証がサイトごとに異なるため、侵入できません。
コンプライアンス。 Web マネージャーは、パスワードの再利用が深刻であることを知っていますが、 45%の人々は同意していません。この新しいテクノロジーに移行すれば、ルールに従うように人々を説得する必要がなくなります。アクセスするには、アクセスする必要があります。
リスクの軽減。 ハッカーは、パスワードやユーザー名を取得するために、データベースを深く掘り下げるのが好きです。そのデータを再利用できなくなったため、新しいターゲットに移動する可能性があります。
より良いカスタマーエクスペリエンス。 顧客の約3分の1は、ユーザー名やパスワードを思い出せないためにショッピングカートを放棄しています。多くのアプリユーザーも同じことをしています。ウェブオーサンの世界では、人々は必要な場所にたどり着くために特別な思い出を必要としません。

この新しいテクノロジーについて考えるだけでもストレスが溜まることは承知していますが、そのメリットは明らかです。このような場合に役立つのがOktaです。

Oktaのアイデンティティ管理サービスによるWeb認証の容易さと安全性をご覧ください。お問い合わせいただき、さっそく始めましょう。