この記事は Google I/O '19 のセッションの視聴メモです。
想定読者は自分なので正確性や網羅率には問題があるかもしれません。
References
https://www.youtube.com/watch?v=18g9RY-SpBI
Speaker(s): Emily Schechter and Christiaan Brand
Abstract
In this talk, you’ll see how Chrome has advanced its protection against deceptive sites, building on a decade of protecting billions of users with Safe Browsing. To proactively offer strong protection against phishing for your users, and even avoid password authentication altogether, you’ll learn about the use cases for WebAuthn, a new web API. This includes using fingerprint and biometric sensors to authenticate users, and support enterprise-grade hardware multi-factor authentication.
訳
このトークではChromeがどのようにして詐欺サイトに対してユーザーを守ってきたか、またセーフブラウジングを達成してきたかをお見せします。フィッシングから積極的にユーザーを守るためにまたパスワード認証を避けるためにWebAuthと新しいWebAPIのユースケースを紹介します。これは指紋と生体センサでユーザーを認証し、エンタープライズでのハードウェアによる多段階認証を含んでいます。
Contents
- リークしたことが判明しているユーザー名とパスワードの組は3.3億件以上
- Googleアカウントに対する99.9%の不正ログインは未然に防がれている
- パスワードの漏洩口は主に次の3つ
- フィッシング、キーロガー、DBからの流出
- 近年はマルウェアによる漏洩が激減して、フィッシングによる漏洩が増えている
- Unclear Subscription Protection
- 二段階認証による電話番号入力と見せかけて法外な値段なサブスクリプションを契約させようとするサイトにChromeが警告を出す
- FIDO
- フィッシングを防ぐためにGoogleやその他の企業が協力してできた
- FIDOはオープンなのでどの企業でもFIDOに対応したデバイスを作れる
- Android端末が二段階認証の要素として使えるようになった
- iPhoneみたいな感じ?
- WebAuthn
- W3CとFIDO Allianceが協力してできたWeb API
- ユーザーネームとパスワードの認証と、物理キーか生体認証
- FIDO module
- Androidで利用できる認証モジュールの一つ
- 従来どおりの認証方法(key storeにアクセスする方法)に加えこちらも使えるようになる
- WebAuthnによってWebで会員登録すると次回以降は指紋認証等だけでログインできるようになる
- アプリ版をダウンロードしてログインしようとしたときもそれだけでいい(Asset Link)
- WebもAppもFIDO層で認証するためクレデンシャルを共有できる
- Yahoo!JAPANが指紋認証による再認証をサポートしたところ37.5%ものログイン時間が削減された
- Googleでは認証の成功率自体が20%以上向上した
Memo
- WebAuthn によるログイン時間の減少はユーザー体験に直結するので、対応してるサービスを使いたくなる
- 1Password に依存しきっている場合はどうなるんだ?
- スピーカーのテンションが高くて話すのが速すぎた…