はじめに
パスキーは、パスワードに代わる、より安全で簡単な方法です。パスキーを使用すると、生体認証センサー(指紋認証や顔認証)、PIN、パターンでアプリやウェブサイトにログインできるため、パスワードを覚えたり管理したりする必要はありません。
デベロッパーもユーザーもパスワードを嫌がります。パスワードはユーザー エクスペリエンスを悪化させ、コンバージョンを阻害し、ユーザーとデベロッパーの両方にとってセキュリティ上の責任を生じます。Android と Chrome の Google パスワード マネージャーでは、自動入力が煩雑になり、コンバージョンとセキュリティのさらなる改善を求めるデベロッパーにとっては、パスキーと ID 連携が業界の最新のアプローチとなっています。
パスキーは多要素認証の要件を 1 ステップで満たすことができます。パスワードと OTP(6 桁の SMS コードなど)の両方を置き換えることで、フィッシング攻撃に対する堅牢な保護を提供し、SMS やアプリベースのワンタイム パスワードのような UX の苦痛を回避できます。パスキーは標準化されているため、1 つの実装で、ブラウザやオペレーティング システムを問わず、ユーザーのすべてのデバイスでパスワード不要のエクスペリエンスを実現できます。
パスキーの方が簡単です:
- ユーザーはログインに使用するアカウントを選択できます。ユーザー名を入力する必要はありません。
- ユーザーは、指紋認証センサー、顔認識、PIN など、デバイスの画面ロックを使用して認証できます。
- パスキーを作成して登録すると、ユーザーは新しいデバイスにシームレスに切り替えて、再登録なしですぐに使用できます。(デバイスごとに設定が必要な従来の生体認証認証とは異なります)。
パスキーは安全性が高い:
- デベロッパーは、パスワードの代わりに公開鍵をサーバーに保存するだけです。つまり、不正な行為者がサーバーにハッキングしても、はるかに価値が低くなり、侵害が発生した場合に行うクリーンアップもはるかに少なくなります。
- パスキーはユーザーをフィッシング攻撃から保護します。パスキーは、登録済みのウェブサイトとアプリでのみ機能します。ブラウザまたは OS が検証を処理するため、ユーザーを欺いて偽のサイトで認証させることはできません。
- パスキーは SMS 送信のコストを削減し、より安全で費用対効果の高い 2 要素認証手段になります。
パスキーとは
パスキーは、ユーザー アカウントとウェブサイトまたはアプリケーションに関連付けられたデジタル認証情報です。パスキーを使用すると、ユーザーはユーザー名やパスワードを入力しなくても認証を行ったり、追加の認証要素を入力したりできます。このテクノロジーは、パスワードなどの従来の認証メカニズムに代わることを目的としています。
ユーザーがパスキーを使用するサービスにログインする際は、ブラウザまたはオペレーティング システムにより、正しいパスキーを選択して使用できます。パスワード保存の仕組みは 今と同様です正当な所有者のみがパスキーを使用できるように、デバイスのロック解除を求められます。これは、生体認証センサー(指紋や顔認識)、PIN、パターンを使用して行うことができます。
ウェブサイトまたはアプリケーションのパスキーを作成するには、まずそのウェブサイトまたはアプリケーションに登録する必要があります。
- アプリに移動し、既存のログイン方法でログインします。
- [Create a passkey] ボタンをクリックします。
- 新しいパスキーで保存されている情報を確認します。
- デバイスの画面ロックを使用してパスキーを作成します。
このウェブサイトまたはアプリに戻ってログインしたら、次の手順を行います。
- アプリケーションに移動します。
- アカウント名の項目をタップすると、自動入力ダイアログでパスキーのリストが表示されます。
- お子様のパスキーを選択します。
- デバイスの画面ロック解除を使用してログインを完了します。
ユーザーのデバイスは、パスキーに基づいて署名を生成します。この署名は、送信元とパスキーの間のログイン認証情報を検証するために使用されます。
ユーザーは、パスキーがどこに保存されているかにかかわらず、パスキーを使用して任意のデバイスのサービスにログインできます。たとえば、スマートフォンで作成したパスキーを、別のノートパソコンでウェブサイトにログインする際に使用できます。
パスキーの仕組み
パスキーはオペレーティング システム インフラストラクチャ(パスキー マネージャーがパスキーを作成、バックアップし、そのオペレーティング システムで実行されているアプリケーションで利用できるようにする)で使用することが想定されています。Android では、パスキーを Google パスワード マネージャーに保存できます。これにより、同じ Google アカウントにログインしているユーザーの Android デバイス間でパスキーが同期されます。パスキーは同期前にデバイス上で安全に暗号化されるため、新しいデバイスで復号する必要があります。Android OS 14 以降のユーザーは、互換性のあるサードパーティのパスワード マネージャーにパスキーを保存できます。
パスキーは、利用可能なデバイスでしか使用できないわけではありません。スマートフォンで利用可能なパスキーは、ノートパソコンにパスキーが同期されていなくても、スマートフォンがノートパソコンの近くにあり、ユーザーがスマートフォンでログインを承認すれば、ノートパソコンにログインする際に使用できます。パスキーは FIDO 標準に基づいて構築されているため、すべてのブラウザで採用できます。
たとえば、ユーザーが Windows マシンの Chrome ブラウザで example.com にアクセスするとします。このユーザーは、以前に Android デバイスで example.com にログインし、パスキーを生成しています。Windows マシンで、ユーザーが別のデバイスのパスキーを使用してログインすることを選択します。2 つのデバイスが接続され、ユーザーは Android デバイスでのパスキー(指紋認証センサーなど)の使用を承認するよう求められます。その後、ユーザーは Windows マシンにログインします。パスキー自体は Windows マシンに転送されないため、通常は example.com により新しいパスキーの作成が提案されます。こうすることで、ユーザーが次回ログインするときにスマートフォンは必要ありません。詳しくは、スマートフォンでのログインをご覧ください。
パスキーを使用しているのは誰ですか?
多くのサービスのシステムですでにパスキーが使用されています。
- DocuSign
- カヤック
- メルカリ
- NTT ドコモ
- PayPal
- Shopify
- Yahoo! 日本
実際に試す
次のデモでパスキーを試すことができます: https://passkeys-demo.appspot.com/
プライバシーへの配慮
- 生体認証でログインすると、サーバーに機密情報が送信されているという誤った印象をユーザーに与える可能性があるためです。実際には、生体認証マテリアルがユーザーの個人用デバイスの外に出ることはありません。
- パスキーのみを使用して、サイト間でユーザーやデバイスを追跡することはできません。同じパスキーを複数のサイトで使用することはありません。パスキー プロトコルは、サイトと共有する情報をトラッキング ベクトルとして使用できないように慎重に設計されています。
- パスキー マネージャーは、パスキーを不正なアクセスや使用から保護します。たとえば、Google パスワード マネージャーはパスキーのシークレットをエンドツーエンドで暗号化します。アクセスして使用できるのはユーザーのみです。また、Google のサーバーにバックアップされていても、Google がユーザーになりすますことはできません。
セキュリティ上の考慮事項
- パスキーは公開鍵暗号を使用します。公開鍵暗号は、潜在的なデータ侵害による脅威を軽減します。ユーザーがサイトやアプリでパスキーを作成すると、ユーザーのデバイスに公開鍵 / 秘密鍵のペアが生成されます。サイトには公開鍵しか保管されませんが、これだけで攻撃者には無用です。攻撃者は、サーバーに保存されているデータからユーザーの秘密鍵を取得できません。この鍵は認証を完了するために必要です。
- パスキーはウェブサイトまたはアプリの ID にバインドされているため、フィッシング攻撃から保護されます。ブラウザとオペレーティング システムは、パスキーを作成したウェブサイトまたはアプリでのみパスキーを使用できるようにします。これにより、ユーザーは正規のウェブサイトやアプリにログインする必要がなくなります。
通知を受け取る
パスキーの更新に関する通知を受け取るには、Google パスキー デベロッパー ニュースレターにご登録ください。