WebAuthnに対応してほしい (YubiKeyやTitan Security Key、Touch IDに対応してほしい)

[VladAdragothgara]

非常にニッチな要望ですが、現在のOTPに代わる選択肢としてYubiKeyなどの物理2FAデバイスに対応してほしいです。

今採用されているOTPも独自仕様ではなく、きちんと標準のRFC 6238に沿ったTOTP実装になっており、きちんと考えられて実装されているなと思います。(強いて言えば、こちらのスレッドで指摘されている方がいるように、OTPの入力欄をパスワード扱いでなくしてもらえると嬉しいです。)しかし、どうしてもTOTPの特性上、フィッシングサイトに人間が引っかかってしまったりすることがあったり、UXの観点でも毎回6文字を入れるというのが面倒くさくなってしまう(その結果、 せっかくOTPを導入したのに面倒臭さからかOTPを外してしまう)ような状況になってしまいます。現状のTOTPは導入が非常に簡単な一方で、このような穴も存在しています。

そこで、最近策定された(といっても2019年なので3年前ですが)WebAuthnに対応することで、フィッシングサイトへの対策とUXの改善をお願いしたいです。

WebAuthnに対応したデバイスであれば仕様上、フィッシングサイトなどでOTPが盗られるということも無いですし、ユーザー名パスワードによる認証に加えて行う2FAとして使う分には単純なタッチ一つで済むためユーザーの負担も少ないです。一昔前だと、物理2FAデバイスはほぼYubico一択か、他の会社のものがあっても仕様がバラバラでしたが、最近の標準化によって足並みが揃えられた結果、主要なブラウザはすべてサポートされていますし(https://caniuse.com/webauthn)、ネイティブアプリでもlibfido2(https://github.com/Yubico/libfido2)によってWindows/macOS/Linux全てで対応可能になっています。2FAデバイス自体の入手性もかなり選択肢が広がっており、特にAppleがTouchIDとしてiPhoneやMacBookにつけるようになって以降、非常によく使われています(FF14でmacosユーザーは少ないかもしれませんが……)。

このような認証認可まわりの要望は、自分が仕事をしててもユーザーから出ることが少なく、他の機能追加などと比べると目立たないですが、検討お願いしたいです。

(そしてもし現状のTOTP周りを提案・実装した人に届くなら、あなたの仕事を見ている人は見てます、と伝えたいです。認証認可周りの仕事って同じエンジニアでもあまり認知されづらく、目立たない仕事ですが、14をやっているエンジニアの友人と「あれ、きちんとTOTPを実装してて偉いよね」という話になったことがあります。)