Logo Logo
GitHub Designed by Logto
authenticationauthorization
GitHub で編集

パスキー (Passkey)

パスキー (Passkey) は、フィッシングに強く便利な資格情報であり、サインインや多要素認証で使用されるパスワードに代わるものです。

パスキー (Passkey) とは何ですか?

パスキー (Passkey) は、従来のパスワードに代わる FIDO ベースの安全で便利な代替手段です。高度な暗号技術を使用して、 フィッシング 攻撃からアカウントを保護します。

  • 各サービスごとにユニーク: サービスに登録すると、デバイスはその特定のサービスのドメインにリンクされたユニークなパスキーを生成します。
  • デバイスにリンクされる: パスキーは通常、電話、ラップトップ、生体認証識別子、またはハードウェアセキュリティキーなどのデバイスにリンクされます。
  • 公開鍵-秘密鍵ペア: デバイスは秘密鍵を保持し、公開鍵はサービスと共有されます。これらの暗号鍵ペアはパスキーと呼ばれます。( FIDO より引用)
  • 複数の認証方法: 指紋スキャン、顔認証、デバイス PIN、QR コードスキャン、セキュリティキーを使用してパスキーで認証できます。
  • クロスデバイス同期: パスキーは安全なクラウドストレージ(例: Apple の iCloud キーチェーンや Google パスワードマネージャー)を使用してデバイス間で同期でき、サポートされているデバイスからサインインできます。

パスキー (Passkey) のワークフローはどのように見えますか?

パスキー (Passkeys) は公開鍵暗号技術を利用して安全な資格情報を提供します。

  • 登録
    • サービスに登録する際に、デバイスがそのサービスにリンクされたユニークな暗号鍵ペアを生成します。
    • 秘密鍵 はデバイスに残り、公開鍵 はサービスと共有されます。
  • 認証
    • サインインを試みる際に、サービスがデバイスに チャレンジ を送信します。
    • デバイスは 秘密鍵 を使用して、そのチャレンジに基づいて暗号 署名 を生成します。
    • 署名 はサービスに返送され、サービスは 公開鍵 を使用してそれを検証します。
    • 署名が有効であれば、認証は成功します。

パスキーを実装するための API である WebAuthn を読んで詳細を学びましょう。

パスキー (Passkey) のエンドユーザーフローはどのように見えますか?

パスキーはローカルおよびクラウド利用の両方に適する2種類の認証装置を提供し、ユーザーはそのサービスで1つまたは両方を有効にすることができます。

  • プラットフォーム認証装置(内部認証装置): 特定のデバイス OS に結びつけられ(例: 電話、ラップトップ)、生体認証またはデバイスのパスコードを使用して承認します。迅速かつ便利です。
    • 例: Apple デバイスでの iCloud キーチェーン(Touch ID、Face ID、またはデバイスパスコードで検証)、Windows Hello、Android の Google パスワードマネージャー。
  • ローミング認証装置(外部認証装置): ポータブルなデバイスまたはソフトウェア(例: セキュリティキー、スマートフォン)。複数のデバイスで使用できますが、QR コードスキャンや NFC/Bluetooth ペアリングなどの追加手順が必要な場合があります。
    • 例: YubiKey やクラウドベースのスマートフォンアカウント。モバイル認証装置は通常、デスクトップデバイスとリンクするために QR コードのスキャンが必要で、クロスデバイス認証には Bluetooth、NFC、または USB 経由で接続し、認証装置が近くにあることを確認する必要があります。

いつパスキー (Passkey) を使用するべきですか?

パスキーは現代の認証要素であり、第一または第二の要素として使用できます。

  • パスキーでのサインイン: パスキーは従来のパスワードと比較して、より高速で安全なパスワードレス認証方法を提供します。
    • 現代のアプリケーションは通常、サインインページに「パスキーでサインイン」ボタンを特徴として持っており、ユーザーにこのオプションを積極的にタップするよう促します。
    • さらに、サインインページではユーザーがそのデバイスとブラウザでパスキーを登録していることを認識すると、自動的にパスキーでのサインインポップアップを表示することができます。
  • パスキー MFA: パスキーはまた、MFA の二番目の要素としても機能します。
    • ユーザーがサインインを試みる際、まずメールアドレスとパスワード(または他の第一要素)を入力し、その後、サービスはパスキーを使用して2段階の認証を完了するよう促します。
    • ブラウザ内に既存のセッションがある場合、サービスは直接ユーザーにパスキーでサインインを促し、再度パスワードを入力する必要がないようにできます。このプロセスは MFA の完了と呼ばれ、パスキーは現在のデバイスに結びつけられ、生体認証、PIN、その他のハードウェア方法を通じてユーザーを検証する高度なセキュリティであるためです。
  • セキュリティ検証: 高セキュリティ環境では、ユーザーのアイデンティティを二重確認するためにパスキーがよく使用されます。例えば、重要な金融情報にアクセスする際や重要な操作を行う際(銀行業務、政府、企業システム)などです。