FIDOアライアンスおよびW3C、「パスワード」無用の仕組みを提案

「パスワード」という仕組みは、非常に脆弱だ。極端にいってしまえば、セキュリティ対策としては「意味のない」仕組みであるということに、多くの人が同意してくれることだろう。しかし、われわれは依然としてパスワードに頼りきって生活している。パスワードは、覚えておく利用者自身にも負担になるだけでなく、盗むのも難しくなく、重要な場面で役に立たないものなのだ。そのような中、FIDOとW3Cが、WebAuthnというウェブ閲覧時のパスワードを不要とするプロトコルを開発している。
Google、Mozilla、およびMicrosoftも、仕様が定まった段階で本プロトコルの採用を表明している。セキュリティキーやスマートフォンなどの外部デバイスを利用して認証処理を行うようになっている。このプロトコルでは、認証を必要とするウェブサイトと、BluetoothやUSB、あるいはNFCなどを通じて直接通信を行うことにより、利用者の介入をなくす仕組みになっている。これによりフィッシングなどの可能性を0にできるとうたっている。
そう、新しい仕組みに移行することで、数週間毎に新しくする、20文字程度のセキュリティ神への捧げもの（パスワード）から開放されるだけでなく、流行のセキュリティリスクをなくすこともできるわけだ。パスワードを入力しない以上、フィッシングや介入者攻撃（man-in-the-middle attack）

リンク元