Mozilla、新認証方法「BrowserID」を実験公開


 米Mozillaは14日、オープンソースで開発する新認証方法「BrowserID」を実験的に公開した。ソースコードはGithubで公開されており、ユーザー、開発者からの積極的なフィードバックを求めている。

 ウェブアプリケーションの数がますます増加しているため、ユーザーはIDとパスワードの管理に追われ、安易なパスワードの使用は大きな脆弱性ともなっている。OpenIDのような認証方法もあるが、Mozillaでは、Facebook、Twitter、Googleのようなプロバイダーに認証をゆだねることについて、「ロックイン、信頼性の問題、データプライバシーへの懸念がある」と示唆している。

 これに対して、今回公開した「BrowserID」の認証システムは分散化されており、BrowserIDサーバーに対してすら、ユーザーがどのサイトを訪れたのかといった基本的情報を漏らすことがない。そして、どのようなメールアドレスでも、認証のために使用することができる。またメードアドレスを提供しているプロバイダーは、BrowserIDをサポートし、認証を支援することもできる。

 認証の具体的な手続きは次の通り。ユーザーが訪れたサイトがBrowserIDに対応していれば、BrowserIDに登録しているメールアドレスを選択し、次いで遷移する画面からBrowserIDのパスワードを入力する。自分のメールアドレスにメールが届き、そこに記されているリンクをクリックすることによって認証が完了する。

 BrowserIDを開発者が利用するには、数行のHTMLとJavaScriptのコードを追加するだけでよく、開発が認証方法のセキュリティに気を配る必要が減少する。

 BrowserIDは「Verified Email Protocol」と公開鍵暗号技術を使用して認証を行っている。これらのプロトコルとソースコードは公開されている。現時点でBrowserIDは初期の実験段階にあるため、実際に認証のために利用することはできないが、どのような手続きを踏むのかはデモサイトにて公開されている。

 今後多くの専門家による検証を改良を経るまで時間がかかるかもしれないが、ユーザーの利便性とセキュリティーを向上させる提案として注目される。


関連情報

(青木 大我 taiga@scientist.com)

2011/7/15 11:59