GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート

by Ben Scholzen

ソフトウェア開発のオンラインプラットフォームであるGitHubは2019年8月21日付けで、多要素セキュリティ認証をブラウザ上で行うためのウェブ標準であるWebAuthnに対応したことを発表しました。GitHubはこれまで部分的に物理セキュリティキーによる二段階認証をサポートしていましたが、WebAuthnへの対応によって物理セキュリティキーや生体認証によるログインが正式にサポートされます。

GitHub supports Web Authentication (WebAuthn) for security keys - The GitHub Blog
https://github.blog/2019-08-21-github-supports-webauthn-for-security-keys/

WebAuthnは、FIDO2と呼ばれるオンライン認証技術仕様をウェブアプリやウェブサービスで利用できるようにするための規格で、指紋や虹彩といった生体情報、SMSによるワンタイムパスワード、暗号鍵を利用した物理セキュリティキーなどを使った多要素認証が可能になります。

パスワード不要のログイン方法「WebAuthn」がウェブ標準になる - GIGAZINE

GitHubではこれまでChrome用で実験的に公開されているU2F(Universal 2nd Factor)のAPIを導入することで、物理セキュリティキーによる二段階認証を部分的にサポートしていたとのこと。しかし、WebAuthnへ対応したことで、正式に物理セキュリティキーを使ったアクセスが可能となったとGitHubは述べています。

by Tony Webster

OSごとに対応するブラウザは以下の通り。

Windows：Mozilla Firefox、Chromiumベースのブラウザ、Microsoft Edge
macOS：Mozilla Firefox、Chromiumベースのブラウザ、Safari
Linux：Mozilla Firefox、Chromiumベースのブラウザ
iOS：Yubico製物理セキュリティキー「YubiKey 5Ci」に対応したBrave
Android：Mozilla Firefox、Chromiumベースのブラウザ

また、WebAuthnへ対応したことによって、USBやLightning端子で接続する物理セキュリティキーがなくても、ノートPCやスマートフォン自体がセキュリティキーとして使えるようになり、指紋リーダーや顔認識を活用できるようになります。

GitHubスタッフのルーカス・ギャロン氏は「現段階ではWebAuthnのサポートが普及していないため、あくまでも補足的な第二要素として物理セキュリティキーをサポートしています。しかしWebAuthunに対応したプラットフォームが増えることで、セキュリティキーが認証要素として主要なものとなっていきます」とコメント。また、「WebAuthnへの対応で生体認証のみによるログインもサポート可能となりました。今後の計画を発表する準備はできていませんが、GitHubのすべてのユーザーにとって安全な認証を可能な限り簡単にする方法を追求し続けます」とギャロン氏は述べ、将来的には完全にパスワードレスなログインシステムも視野に入れていることを示しました。