パスキー
概説
編集特徴
編集対パスワードと比較
編集認証時文字入力不要
編集- ユーザー識別を行うID入力は、Discoverable Credentialに対応する場合は入力が不要となる。
- ユーザー入力がなく、事前にパスキーを登録すると、従来のパスワード認証やメールやショートメッセージサービス (SMS) を使用したコード認証よりも簡単に認証することが可能となる
フィッシング耐性
編集- 端末からサーバーへ送られる情報は「チャレンジ」データを署名したもので、パスワードやコード認証と異なり入力文字列の再使用がない。
- ウェブサイトのドメインごとにパスキーが生成されるため、ドメインが異なるフィッシングサイトでは使えないことや署名に使用するパスキーがウェブサイトへ送られないためフィッシング詐欺を困難にしている。
同期パスキー (Synced Passkeys)
編集デバイス固定パスキー (Device-Bound Passkeys)
編集技術概要
編集WebAuthn
編集登録 (Registration)
編集認証 (Authentication)
編集- サーバーがそのフローでのみ利用されるランダムな文字列(チャレンジ)を送信する。
- クライアントはユーザーアカウントに紐づいているパスキーを選択する。
- 送信されたチャレンジに対してパスキーの中に含まれている秘密鍵で署名してサーバーに送信する。
- サーバーは保存している公開鍵で受信した署名データを検証
- 検証に成功した場合、認証成功とする。
以上はWebAuthnを使用したブラウザ上での動作になるが、AndroidやiOSなどのネイティブアプリからでもFIDO2をサポートしたAPIを使用して同様のフローが実現されている。
Discoverable Credential
編集Discoverable Credentialはパスキーをユーザー識別子と一緒にクライアント側に保存する。ユーザーがパスキーを用いてウェブサイトやアプリへログインする際、クライアントがアクセスできる範囲内で、当該サイトに登録済みのすべてのパスキーを検索し、パスキーが存在するすべてのユーザー識別子をアカウントチューザーを用いて候補として提示する。ユーザーは候補から希望するユーザー識別子を選択することで、そのユーザー識別子でサイトにログインすることできる。ユーザーはユーザー名を入れたり、サーバー側からクライアントにユーザー名を教える必要がなくなる。
Discoverable Credentialとアカウントチューザーによって、ログイン時のユーザー体験が向上する。同期パスキーの場合は、この機能がクラウド経由で当該ユーザーの他の端末にも共有され、同じインタフェースを提供することが可能となっている。
Conditional UI
編集Discoverable Credentialに対応することで、FIDO認証資格情報とIDの組み合わせをログイン時に自動で提示する(オートフィル)ことが可能になる。WebAuthnの認証フローと相まってログイン時に文字列入力をする必要がなくなり、ユーザーがログインを行うハードルを下げることが可能になる。
Conditional UIを使用することによってオートフィルに表示されたアカウントを選択するだけでログインが可能となり、パスワードを使っている時のオートフィルとユーザー体験が変わらないため、パスワードからパスキーへの移行をスムーズに行うことが可能になる。
対応状況
編集パスキーは、2022年に「認証資格情報の管理システム」が各OSに実装され、日本国内は2023年から順次、各種アカウントがパスキーに対応する。
2022年
編集2023年
編集2024年
編集脚注
編集関連項目
編集外部リンク
編集- Passkeys
- Passkeys (Passkey Authentication) - FIDO Alliance
- FIDO認証&パスキー総復習(認証の仕組みやパスキー登場までの経緯) - Yahoo! JAPAN Tech Blog
- iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉 - Impress Watch 2022年11月25日
- 「パスキー」って一体何だ? パスワード不要の世界がやってくる - ITmedia NEWS 2023年1月23日
- 「パスキー」とは?話題のログイン方法を解説 - IT Staffing エンジニアスタイル 2023年7月28日
- Passkeys.directory Provided by 1Password