パスキーをサービスに統合する方法について説明します。
パスキー システムの構造
パスキー システムは、いくつかのコンポーネントで構成されています。
- 証明書利用者: パスキーのコンテキストでは、証明書利用者(RP)がパスキーの発行と認証を処理します。RP は、クライアント(パスキーの作成またはパスキーによる認証を行うウェブサイトやアプリ)と、クライアントでパスキーによって生成された認証情報を登録、保存、検証するサーバーを動作させる必要があります。パスキー モバイルアプリは、デジタル アセット リンクなどの OS 提供の関連付けメカニズムを使用して、RP サーバー ドメインにバインドされている必要があります。
- 認証システム: オペレーティング システムの画面ロック機能を使用してパスキーを作成および検証できるコンピューティング デバイス(スマートフォン、タブレット、ノートパソコン、デスクトップ パソコンなど)。
- パスワード マネージャー: パスキーを提供、保存、同期する、エンドユーザーのデバイスにインストールされているソフトウェア(Google パスワード マネージャーなど)。
登録フロー
ウェブサイトで WebAuthn API を使用して、Android アプリの認証情報マネージャー ライブラリを使用して、新しいパスキーを作成して登録します。
新しいパスキーを作成するには、いくつかの主要なコンポーネントを提供する必要があります。
- RP ID: 証明書利用者 ID をウェブドメインの形式で指定します。
- ユーザー情報: ユーザーの ID、ユーザー名、表示名。
- 除外する認証情報: 重複した登録を防ぐために、以前に保存されたパスキーに関する情報。
- パスキーの種類: デバイス自体(「プラットフォーム認証システム」)を認証システムとして使用するか、取り外し可能なセキュリティ キー(「クロスプラットフォーム / ローミング認証システム」)として使用するか。また、呼び出し元は、ユーザーがログインに使用するアカウントを選択できるように、認証情報を検出可能にするかどうかを指定できます。
RP がパスキーの作成をリクエストし、ユーザーが画面のロック解除によってそれを検証すると、新しいパスキーが作成され、公開鍵の認証情報が返されます。それをサーバーに送信し、今後の認証のために認証情報 ID と公開鍵を保存します。
パスキーを作成して登録する方法については、以下をご覧ください。
- ウェブの場合: パスワードなしでログインするためのパスキーを作成する
- Android の場合: Credential Manager API を使用して、パスキーによるアプリのシームレスな認証を実現
認証フロー
ウェブサイトで WebAuthn API を使用し、Android アプリの認証情報マネージャー ライブラリを使用して、登録済みのパスキーで認証します。
パスキーによる認証を行うには、次の 2 つの主要コンポーネントを提供する必要があります。
- RP ID: 証明書利用者 ID をウェブドメインの形式で指定します。
- チャレンジ: リプレイ攻撃を防ぐ、サーバーで生成されたチャレンジです。
RP がパスキーによる認証をリクエストし、ユーザーが画面ロックで認証を行うと、公開鍵の認証情報が返されます。それをサーバーに送信し、保存されている公開鍵で署名を検証します。
パスキーによる認証の方法について詳しくは、以下をご覧ください。
- ウェブの場合: フォームの自動入力でパスキーを使用してログインする
- Android の場合: Credential Manager API を使用して、パスキーによるアプリのシームレスな認証を実現
サーバーサイドの統合
パスキーの作成時に、サーバーはチャレンジ、ユーザー情報、除外する認証情報 ID などの主要なパラメータを指定する必要があります。次に、クライアントから送信された作成済みの公開鍵認証情報を検証し、公開鍵をデータベースに保存します。パスキーによる認証の場合、サーバーはユーザーがログインできるように、認証情報を慎重に検証し、署名を検証する必要があります。
ただし、パスキー サーバーを独自に構築しても時間効率が良くないため、重大なセキュリティ インシデントにつながるバグが発生する可能性があります。利用可能なオープンソース ライブラリか、パスキーの統合を高速化できるソリューションを使用することをおすすめします。
オープンソース ライブラリの一覧については、passkeys.dev のライブラリ セクションまたは WebAuthn ライブラリのクラウドソース リストをご覧ください。 解決策を見つけるために、FIDO Alliance は FIDO2 認定サーバーの名簿を用意しています。
既存(レガシー)の認証メカニズム
既存のサービスでパスキーをサポートしている場合、パスワードなどの古い認証メカニズムからパスキーへの移行は 1 日では行われません。脆弱な認証方法をできる限り早く廃止したいというご要望もあるかと存じますが、これによりユーザーが混乱したり、一部のユーザーが取り残されたりする可能性があります。当面は、既存の認証方法をそのまま使用することをおすすめします。
次のような理由が考えられます。
- パスキーに互換性のない環境にユーザーがいる: パスキーのサポートは、複数のオペレーティング システムやブラウザに広く拡張されていますが、古いバージョンを使用しているユーザーは、まだパスキーを使用できません。
- パスキーのエコシステムがまだ成熟していない: パスキーのエコシステムは進化しています。異なる環境間の UX の詳細や技術的な互換性が向上する可能性があります。
- パスキーを使う準備がまだできていないユーザー: 新しいものに飛びつきにくいと感じるユーザーもいます。パスキーのエコシステムが成熟するにつれ、ユーザーは、パスキーの仕組みとそれが自分にとって有用である理由を理解できるようになります。
既存の認証メカニズムを再検討する
パスキーにより認証がより簡単かつ安全になりますが、従来のメカニズムを維持することは、穴を残すようなものです。既存の認証メカニズムを見直して改善することをおすすめします。
パスワード
安全なパスワードを作成してウェブサイトごとに管理することは、ユーザーにとって困難な作業です。システムに組み込まれているパスワード マネージャーか、スタンドアロンのパスワード マネージャーを使用することを強くおすすめします。ログイン フォームを少し調整するだけで、ウェブサイトやアプリのセキュリティとログイン エクスペリエンスに大きな違いをもたらすことができます。変更方法については、以下をご覧ください。
- ログイン フォームに関するおすすめの方法(ウェブ)
- 登録フォームに関するおすすめの方法(ウェブ)
- Credential Manager を使用してユーザーのログインを行う(Android)
2 要素認証
パスワード マネージャーはパスワード処理に役立ちますが、すべてのユーザーが使用するわけではありません。このようなユーザーを保護するため、ワンタイム パスワード(OTP)と呼ばれる追加の認証情報を要求することをおすすめします。OTP は通常、メール、SMS メッセージ、または Google 認証システムなどの認証システムアプリを介して提供されます。通常、OTP は動的に生成される短いテキストで、限られた期間のみ有効なため、アカウントの不正使用の可能性が低くなります。これらの方法はパスキーほど堅牢ではありませんが、ユーザーにパスワードのみを残すよりもはるかに優れています。
OTP を配信する方法として SMS を選択する場合は、次のベスト プラクティスを確認して、OTP を入力するユーザー エクスペリエンスを合理化します。
- SMS OTP フォームに関するおすすめの方法(ウェブ)
- SMS Retriever API による SMS の自動検証(Android)
ID 連携
ID 連携は、ユーザーが安全かつ簡単にログインできるようにするもう 1 つのオプションです。ID 連携を使用すると、ユーザーはサードパーティの ID プロバイダのユーザー ID を使用して、ウェブサイトやアプリでログインできるようになります。たとえば、「Google でログイン」はデベロッパーにとって優れたコンバージョンをもたらし、ユーザーはパスワード ベースの認証よりも簡単で好ましいと考えています。ID 連携はパスキーを補完します。ウェブサイトまたはアプリは 1 ステップでユーザーの基本的なプロフィール情報を取得できるため、登録には適していますが、パスキーは再認証の効率化に最適です。
Chrome が 2024 年にサードパーティ Cookie を段階的に廃止した後、一部の ID 連携システムはそのビルド方法によっては影響を受ける可能性があります。この影響を軽減するために、Federated Credential Management API(FedCM)という新しいブラウザ API が開発されています。ID プロバイダを実行している場合は、詳細を確認して、FedCM を採用する必要があるかどうかを確認してください。
- Federated Credential Management API(ウェブ、FedCM)
- ウェブでの「Google でログイン」の概要(ウェブ、Google でログイン)
- Android でのワンタップ ログインの概要(Android、ワンタップ ログイン)
「マジックリンク」
マジックリンク ログインは、サービスがメールを介してログインリンクを配信する認証方法です。ユーザーはこのリンクをクリックして認証を受けることができます。これにより、ユーザーはパスワードを記憶することなくログインできるようになりますが、ブラウザ/アプリとメール クライアントの切り替えは煩わしいものになります。また、認証メカニズムはメールに依存しているため、メール プロバイダの脆弱なセキュリティにより、ユーザーのアカウントが危険にさらされる可能性があります。
学習用リソース
ウェブ
パスキーをウェブサイトに統合するには、Web Authentication API(WebAuthn)を使用します。詳細については、次のリソースをご覧ください。
- パスワードなしでログインするためのパスキーを作成する: ユーザーがウェブサイトのパスキーを作成できるようにする方法について説明した記事。
- フォームの自動入力でパスキーを使用してログインする: 既存のパスワード ユーザーに対応しながら、パスキーを使用したパスワードなしのログインを設計する方法に関する記事。
- ウェブアプリでフォームの自動入力を使用してパスキーを実装する: ウェブアプリでフォームの自動入力を使用してパスキーを実装し、よりシンプルで安全なログインを実現する方法を説明する Codelab です。
- ウェブアプリでフォームの自動入力を使用してパスキーを実装する方法を確認する: ウェブアプリでフォームの自動入力を使用してパスキーを実装する Codelab で説明されているワークショップ動画では、ウェブアプリでフォームの自動入力を使用してパスキーを実装し、よりシンプルで安全なログインを実現しています。
- 初めての WebAuthn アプリを作成する: ウェブサイトでパスキーを使用する簡単な再認証機能を構築する方法を説明する Codelab です。
Android
パスキーを Android アプリに統合するには、認証情報マネージャー ライブラリを使用します。詳細については、次のリソースをご覧ください。
- 認証情報マネージャーを使用してユーザーのログインを行う: Android で認証情報マネージャーを統合する方法について説明します。Credential Manager は、ユーザー名とパスワード、パスキー、フェデレーション ログイン ソリューション(Google でログインなど)など、複数のログイン方法を単一の API でサポートする Jetpack API です。
- Credential Manager API を使用してパスキーによりアプリにシームレスな認証を提供する: Android の認証情報マネージャーを使用してパスキーを統合する方法を説明する記事。
- Android アプリで認証情報マネージャー API を使用して認証プロセスを簡素化する方法を学習する: 認証情報マネージャー API を実装し、パスキーまたはパスワードを使用してアプリでシームレスで安全な認証を提供する方法について説明します。
- Credentials Manager サンプルアプリ: パスキーに対応する認証情報マネージャーを実行するサンプルコード。
- Credential Manager と認証情報プロバイダ ソリューションの統合 | Android デベロッパー
UX
パスキーのユーザー エクスペリエンスに関する推奨事項を確認する: