パスキー
概要
FIDO AllianceとWeb標準化団体W3Cが共同で開発したのが、Webサイトの生体認証によるログイン仕様「WebAuthn」で使われる、サイトごとのFIDO認証資格情報(FIDOクレデンシャル)を複数デバイスで同期する機能をパスキーと言う。[1]
2023/10/24現在、メジャーな企業でも導入が進んでいる。[2]
概要のわかる参考資料
https://speakerdeck.com/nkzn/what-i-know-about-passkeys-as-of-today?slide=8
コンセプト
「パスワードは覚えるのが大変で、フィッシング詐欺のように第三者に盗まれ悪用される問題も絶えない。そこで世界のIT業界の有志が集まり、2012年にFIDOアライアンスを立ち上げ、使い勝手とセキュリティを両立する認証方法の標準化を目指してきた。 その結果、利用が広がり始めているのが、公開鍵暗号方式を活用したパスキーだ。これは、パスワードという短い『テキスト文字列』ではなく、暗号化されたランダムな文字列からなる『ペアの鍵』を使う認証方式となっている」 パスワードは古い?「パスキー」の導入企業が急増 気になる「セキュリティと利便性」両立の仕組み | 東洋経済Tech×サイバーセキュリティ | 東洋経済オンライン
より詳しく
「パスキー(Passkey)」は、パスワードの代わりに使用される、比較的新しい形式の認証手段です。パスキーは、WebAuthn(ウェブ認証)の標準を基に構築されています。この標準は、ユーザーがオンラインサービスにログインする際に、より安全かつ便利な方法を提供することを目的としています。
パスキーは、パスワードの問題点を解決し、オンラインでの認証をより安全かつ使いやすくするための重要な進歩とされています。多くの主要なテクノロジー企業がこの技術を採用し、普及に向けて取り組んでいます。
パスキーの主な特徴は次のとおりです:
1. **セキュリティ**: パスキーは、公開鍵暗号技術を使用しており、各ウェブサイトに固有のキーペアを生成します。これにより、フィッシング攻撃やパスワード盗用のリスクが大幅に減少します。
2. **使いやすさ**: ユーザーはパスワードを覚える必要がなく、生体認証やPINコードなどの方法で簡単に認証を行うことができます。
3. **相互運用性**: パスキーは、異なるデバイスやプラットフォーム間で共有でき、一度設定すれば、スマートフォン、タブレット、PCなど、さまざまなデバイスで使用できます。
4. **プライバシー保護**: パスキーは、個人を特定する情報をウェブサイトに提供せず、プライバシーを保護するよう設計されています。
話題
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果 - ITmedia Mobile
パスキーの技術的側面
パスキー(Passkey)の技術的な仕組みは、公開鍵暗号技術と生体認証やセキュリティキーなどの認証方法に基づいています。これらは、WebAuthn(Web Authentication)とFIDO2(Fast Identity Online 2)の標準に従って構築されています。パスキーの仕組みは以下のようになっています:
1. **公開鍵暗号技術**:
- ユーザーがアカウントを作成する際、デバイスは一意の公開鍵と秘密鍵のペアを生成します。 - 公開鍵はサービスプロバイダー(例えば、ウェブサイト)に送信され、アカウントに関連付けられます。 - 秘密鍵はユーザーのデバイスに安全に保存され、決してデバイスから出ることはありません。
2. **ログイン時の認証プロセス**:
- ユーザーがログインしようとすると、サービスプロバイダーは公開鍵に関連するチャレンジを発行します。 - ユーザーのデバイスは、このチャレンジに対して秘密鍵を使って署名し、その署名をサービスプロバイダーに送信します。 - サービスプロバイダーは公開鍵を使用して署名を検証し、正しい場合はユーザーを認証します。
3. **ユーザーの同意**:
- 認証プロセスでは、ユーザーの同意が必要です。これは通常、生体認証(指紋認証や顔認証など)、PINコード、またはセキュリティキーを使用して行われます。 - このステップは、秘密鍵がユーザーの意図に基づいてのみ使用されることを保証します。
4. **クロスプラットフォームのサポート**:
- パスキーは、異なるデバイスやプラットフォーム間での相互運用性をサポートしています。 - ユーザーは、パスキーを異なるデバイスで同期させ、どこでも使用できます。
パスキーのこの仕組みは、従来のパスワードベースのシステムよりもはるかに安全です。秘密鍵はユーザーのデバイス上にのみ存在し、ユーザーの同意なしに使用されることはありません。これにより、フィッシング攻撃やキーロガーによる攻撃のリスクが大幅に軽減されます。また、パスキーはウェブサイトごとに異なる認証情報を生成するため、一つのサイトでのセキュリティ侵害が他のサイトに影響を与えることはありません。
時系列で見るパスキー
パスキー(Passkey)の歴史を時系列で見ていくと、主にWebAuthnとFIDO2の標準の発展と普及に密接に関連しています。これらの標準は、オンライン認証の安全性を向上させるために開発されました。
1. **2013年**: FIDO(Fast IDentity Online)アライアンスが設立されました。この組織は、オンライン認証のためのより安全で使いやすい代替手段を開発することを目指していました。
2. **2015年**: FIDOアライアンスとW3Cが協力して、ウェブ上での認証をより安全にするための新しい標準を開発し始めました。
3. **2017年**: FIDOアライアンスとW3Cは、WebAuthnの初期バージョンを発表しました。これは、ウェブサイトがユーザーのデバイス上の生体認証センサーやセキュリティキーを使用して認証できるようにするAPIです。
4. **2018年**: WebAuthnがW3Cの候補勧告として発表され、主要なブラウザによるサポートが開始されました。
5. **2019年**: WebAuthnが正式にW3C勧告として承認され、WebAuthnをサポートするウェブブラウザとオペレーティングシステムが増加しました。
6. **2020年~2021年**: テクノロジー企業やオンラインサービスが、パスワードを使用しない認証方法としてパスキーを実装し始めました。
7. **2022年以降**: Apple、Microsoft、Googleなどの主要なテクノロジー企業が、パスキーをサポートし、その普及を推進することを公表しました。これにより、オンライン認証の新しい時代が始まり、パスワードの代替としての地位を確立しています。
基本知識
パスキーとは--パスワードに代わる認証方法の基礎 - ZDNET Japan
批判
パスワードより、ユーザーエクスペリエンスが悪い、という批判がある。[3]
セキュリティに主眼を置いている技術とはいえ、あまり煩雑になると誰も使わなくなってしまう点を考慮すると、工夫の余地がある。