パスキー

パスキー
passˌkee 名詞

パスキーは、FIDO標準に基づくFIDO認証資格情報であり、ユーザーはデバイスのロック解除に使用するのと同じプロセス(生体認証、PIN、またはパターン)でアプリやWebサイトにサインインできます。パスキーは、Webサイトまたはアプリケーションのユーザーのアカウントに関連付けられたFIDO暗号化資格情報です。パスキーを使用すると、ユーザーはユーザー名やパスワード、または追加の要素を入力する必要がなくなります。代わりに、ユーザーは、デバイスのロック解除に使用するのと同じプロセス (生体認証、PIN、パターンなど) でサインインを承認します。

passkeyという単語は一般名詞です。パスワードの参照方法と考えてください。文頭やタイトルで使用する場合を除き、小文字で記述する必要があります。パスキー (および複数形のパスキー) という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームに関連付けられた機能ではありません。

セキュリティのために作成されました

Verizonの 2024 Data Breach Investigations Reportによると、 フィッシングの全体的な報告率は過去数年間で増加しています。 また、認証情報の侵害や脆弱性の悪用も、セキュリティ上の懸念を増大させています。

パスキー はフィッシングに強く、設計上安全です。これらは本質的に、フィッシング、クレデンシャルスタッフィング、その他のリモート攻撃などのサイバー犯罪者からの攻撃を減らすのに役立ちます。パスキーを使用すると、パスワードを盗む必要はなく、攻撃を永続させるために使用できるサインインデータもありません。

パスキーアプローチは、従来の認証や多要素認証よりも優れたセキュリティモデルを提供します。さらに良いことに、パスキーは人々にとって使いやすく、パスワードによるサインインの成功率が20%向上します。詳細については、 パスキー のセキュリティを参照してください。

簡単で迅速なサインイン

FIDO認証は使いやすいです。人々や組織は急速にパスキーを採用しています。 FIDO アライアンスが委託した最近の独立した調査では、53%の人が少なくとも1つのアカウントでパスキーを有効にしていると回答し、22%が可能な限りすべてのアカウントでパスキーを有効にしている と回答し ています。

パスキーの利点

パスキーのサポートを実装する組織は、パスキーの使用が増えると、次のようなメリットがあります。

エンドユーザーエクスペリエンスの改善

  • サインイン成功率の向上
  • サインインまでの時間を短縮
  • より安全、よりセキュア、より高速なオンライン体験
  • クロスデバイスとエコシステムの可用性

業務の改善

  • サインイン成功率の向上、コンバージョン率の向上、リピート購入、ダウンタイムの短縮
  • フィッシング、クレデンシャルスタッフィング、攻撃対象領域の削減
  • カートの放棄率の低下
  • アカウント復旧時のパスワードリセットの必要性が減少
  • カスタマーサポートの必要性の減少
  • 顧客ロイヤルティと顧客維持率の向上

以下に関連するコストの削減

  • SMSテキストメッセージなどの認証方法のサービスコスト
  • 悪意のあるアクターをリアルタイムで監視および防御
  • 従来の認証ソリューションの継続的な強化
  • パスワードを忘れたアカウントとアカウントのロックアウトによるアカウントのリセット

これらの例から、パスキーは組織とエンドユーザーの両方にメリットがあることがわかります。

最新のユーザー導入動向を表示できます https://fidoalliance.org/content/research/

パスキーの使用を開始する

FIDOは、パスキーに関連する複数のリソースを提供しています。ここでは、パスキーについて調べる際の出発点と、パスキーのサポートを実装する準備ができたときに役立つ場所をいくつか紹介します。

  • パスキー Central – パスキーの使用方法について詳しく知りたい関係者向けの公開リソースです。
  • ユースケース – さまざまなパスキーのユースケースについて学習するためのリファレンス。
  • デザインガイドライン – パスキーの消費者ユースケースのデザインパターンを中心としたデザインガイドライン。
  • パスキー Directory – 企業や組織がFIDO標準を活用してパスワードレス認証を作成し、従業員やクライアントに安全なログインを提供した方法をご紹介します。
  • パスキーアイコンを取得する – パスキーアイコンは、パスワードなしでWebサイトやアプリに安全かつ簡単にサインインできることをユーザーに示します。
  • パスキー の説明ビデオ – 2024 年のパスキーの説明ビデオを見て、パスキーの使用を開始するのに役立ちます。

本日の passkeycentral.org 訪問

パスキー 中心的

パスキー FAQ

パスキー はパスワードに代わるものです。

パスワードは覚えて入力できるものであり、パスキーはデバイスに保存される秘密であり、ユーザーがデバイスのロックを解除するのと同じようにロックを解除します(生体認証、PIN、パターンなど)。

パスワードとは異なり、パスキーはフィッシング耐性があり、常に堅牢で、秘密(シークレット)を共有することがないように設計されています。

パスキー は、アプリやWebサイトのアカウント登録を簡素化し、使いやすく、ユーザーのすべてのデバイス、さらには物理的に近接した他のデバイスでも機能します。

技術的な観点から見ると、パスキーはパスワードレス認証のためのFIDO資格情報です。 パスキーは、パスワードを暗号キー・ペアに置き換えることで、フィッシングに強いサインイン・セキュリティを実現し、ユーザー・エクスペリエンスを向上させます。 暗号鍵は、エンドユーザー・デバイス(コンピュータ、電話、またはセキュリティ・キー)からユーザー認証のために使用される。 パスキー は、ユーザーのデバイス間で安全に同期することも、特定のデバイスにバインドすることもできます(デバイス固定パスキー)。

ユーザーがウェブサイトやアプリへのサインインを求められたとき、ユーザーのデバイス(携帯電話、パソコンまたはセキュリティキー)のロック解除をするのと同じ生体情報やPIN情報を使って、サインインを承認します。 アプリやウェブサイトは、従来のユーザー名とパスワードの代わりに、このメカニズムを利用できます。

一般にFIDO2(WebAuthnおよびCTAP)として知られている同じ標準は、サインイン用のパスキーを使用してFIDOをデプロイするために活用されます。WebAuthn 標準は、パスキーを管理するブラウザ API をカバーしています。

「パスキー」という単語は普通名詞で、「パスワード」と同じような意味合いと考えてください。 文頭以外は小文字で書く必要があります。

「パスキー」(および複数形の「パスキー」)という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームに結びついた機能ではありません。

線引きが必要な場合、クラウド サービスを介してユーザーのデバイス間で同期されるパスキーは一般に “同期パスキー” と呼ばれ、1 つのデバイスから離れることがないパスキー (UAF アプリ上のパスキーを含む) は “デバイス固定パスキー” と呼ばれます。

そうだ。 ユーザーのデバイス(携帯電話、パソコン、セキュリティキー)が実行しているローカルでの生体情報処理に変更はありません。 生体情報と、その処理はデバイスに残り、リモートのサーバーに送られることはありません。(サーバーは生体情報の検証が成功したことの保証を見るのみです)

パスキーの主な使用例は、アカウント認証の最初/主要な要素としてパスワードを置き換えることです。パスキーはフィッシングに強く、使いやすいため、パスワードとSMS OTPなどの従来の多要素認証フローを置き換えることもできます。パスキーには、オンライン決済のシナリオ、IDウォレット内、自動車など、他にもユースケースがあります。

長年にわたり、パスワードの使いまわしやデータベースに対する侵害の横行により、パスワードはフィッシング攻撃やクレデンシャルスタッフィング攻撃の対象になってきました。

第一の要素であるパスワードは、根本的に複数の点で問題があるため、業界では、第二の要素を追加する方法が広く採用されています。 しかし、残念ながら、ワンタイムパスワード(OTP)や電話による承認など、最も一般的な形式のセカンドファクターは、不便であると同時にフィッシングの可能性があります。

パスキー は、「パスワード + OTP」または「パスワード + 電話承認」の組み合わせよりも安全である主要な要素です。

パスキー プロバイダーは、ユーザーのパスキーの作成と管理を担当します。パスキープロバイダーは、パスキーが組み込みの認証情報マネージャー(iCloudキーチェーンや Google パスワードマネージャーなど)内で保存および同期されるブラウザまたはオペレーティングシステムベンダー、またはパスキーがサードパーティのアプリまたはブラウザ拡張機能(1PasswordやDashlaneなど)内で保存および同期されるサードパーティプロバイダーです。

そうだ。 パスキー の同期はエンドツーエンドで暗号化され、パスキープロバイダーは強力なアカウントセキュリティ保護を備えています。

FIDO アライアンスが、できるだけ多くの場所でパスワードを置き換えることで、サインインをより簡単かつ基本的に安全にするという使命を達成するためには、同期が非常に重要です。

なぜなら、パスワードを置き換えるということは、3つの側面でパスワードと「競合」することを意味するからです。

  • スピード:パスワードの作成や使用よりも速くなければならない。
  • 利便性:パスワードを使うより便利とまではいかなくても、少なくとも同じくらい便利でなければならない。
  • セキュリティ:フィッシングに耐性があり、アプリ/ウェブサイト/サービスごとにユニークであることが保証されていること。

速度
パスキーを作成すると、ユーザーはパスワードの複雑さの要件に準拠する必要がなくなります。 登録は生体認証やPINコードの入力と同じくらい簡単で、同期パスキーによるサインインも生体認証やPINコードだけでよく、どちらもパスワードの入力より高速です。

利便性
パスワードの代替の使いやすさは、パスワードの利便性と競わなければならない。パスワードの主な使いやすさの利点の1つは、どのデバイスからでも使えることだ。

同期とは、同じパスキープロバイダーを使用して、ユーザーのすべてのデバイスからパスキーを使用できることを意味します。また、パスワードと同様に、別のデバイスからWebサイトにアクセスする場合、資格情報の登録/作成フローを経る必要はありません — クロスデバイスサインインは、Bluetooth Low Energy(BLE)を使用して物理的な近接性を確認する FIDO アライアンス Client 認証器 Protocol(CTAP)の拡張機能を介してサポートされています。

暗号鍵がユーザーのパソコンまたはモバイル・デバイスに紐付けされている場合、ユーザーが新しいデバイスを取得するたびに、RP(Relying Party, サービス提供者)は他の認証方法(通常はパスワードなどの知識ベースの認証資格情報)にフォールバックする必要があります。 実際には、これは多くの場合、新しいデバイスでの最初のサインインが不便でフィッシングの可能性があることを意味します。

Passkeys solve this issue because they are available on the user’s device if and when the user needs them — starting from the very first sign-in to a website from that device. 最後に、ユーザーはパスワードを忘れたり、バックアップのメールや電話番号を設定しなかったりすることがよくあります。 同期パスキーの場合は、デバイスさえあればサインインできるので、忘れることはありません。 また、同期パスキーはバックアップが可能なため、紛失防止にも役立ちます。

セキュリティ
FIDOクレデンシャルであるパスキーは、依拠当事者(フィッシング、クレデンシャル・スタッフィング、パスワード・データベース侵害などの絶え間ない脅威に直面している)がパスワードをFIDOクレデンシャルに置き換えることを可能にする。 FIDO は、非対称暗号に基づくチャレンジ・レスポンス認証プロトコルをRPに提供します。 これは、フィッシング耐性があり、サーバー上に秘密(シークレット)を保持しないことを意味し、結果としてセキュリティにおける大きな前進となります。

フィッシング対策は、FIDO認証の中核的な設計目標です。 この目標は、暗号鍵がハードウェアに紐付けされているか否かにかかわらず、サインイン時に達成されます。 さらに、攻撃者にとってパスワードデータベースに対する侵害は魅力的な攻撃ですが、盗むべきパスワードが存在しないため、もはや脅威とはなりません。

RP は、組み込みの WebAuthn API (Web サイト用) とプラットフォーム FIDO API (アプリ用) を使用して、サインイン用のパスキーを実行します。

パスキー は、すべての主要なオペレーティングシステム、インターネットブラウザ、およびサードパーティのパスキープロバイダーによってサポートされています。

ユーザーが自分のデバイスでパスキーを作成すると、同じユーザーのアカウントにサインインしている同じパスキー プロバイダを使用して、他のユーザーの他のすべてのデバイスに同期されます。したがって、1つのデバイスで作成したパスキーは、すべてのデバイスで使用できるようになります。

特に、ユーザーが新しいデバイスを取得し、パスキープロバイダーで設定すると、ユーザーのパスキーが同期され、新しいデバイスでサインインできるようになります。

FIDOは、このユースケースに対してクロスデバイス認証を定義しています。クロスデバイス認証を使用すると、ユーザーはQRコードを使用してデバイスでサインインできます。

FIDOクロスデバイス認証(CDA)を使用すると、1つのデバイスのパスキーを使用して別のデバイスにサインインできます。たとえば、電話をラップトップにリンクして、電話のパスキーを使用してラップトップでサービスにサインインできるようにすることができます。

CDAは、「ハイブリッド」トランスポートを使用した認証器 クライアント認証プロトコル(CTAP)によって駆動されます。CTAPは、依拠当事者ではなく、認証子とクライアントプラットフォームによって実装されます。

CTAP2.2を使ったデバイスをまたがるFIDO認証フローは、物理的な近接性を確認するためにBluetoothを使用し、サインインの実際のセキュリティのためにBluetoothセキュリティプロパティに依存することはありません。 データを保護するために「hybrid」と名付けられたCTAPトランスポートが、標準のBluetoothのセキュリティ特性の上で、標準的な暗号化技術の追加レイヤーを使用しています。

パスキー は、認証に複数の要素を活用します:パスキーはユーザーのデバイス(ユーザーが「持っているもの」)に保持され、RPがユーザー検証を要求した場合、生体認証またはPIN(ユーザーが「ある」または「知っている」)を持つユーザーのみが実行できます。

RP は、パスキー プロバイダー アカウントからの 1 つの要素 (パスワードなど) を通じてパスキーが攻撃者に利用可能になる可能性があることを懸念している場合があります。しかし、実際には、これは通常当てはまりません:パスキープロバイダーは、ユーザーを認証し、パスキーをデバイスに復元する際に、ユーザーのパスワード以外の複数の信号(ユーザーに見えるものもあれば、見えないもの)を考慮します。

いくつかの法律・規制に対する準拠という観点からは、同期パスキーが多要素の1つとして公式にリストアップされるには、時間を要すると考えられることに留意してください。 これは、 FIDO アライアンスが積極的に関与している分野です。

ユーザーが Google パスワード マネージャーや Bitwarden などのクロスプラットフォームのパスキー プロバイダを利用している場合、新しいデバイスでプロバイダを設定すると、そのデバイスでパスキーを利用できるようになります。

ユーザーがパスキーをFIDOセキュリティキーに保存している場合、それを使用して新しいデバイスで安全に認証できます。

ユーザーがクロスプラットフォームのパスキー プロバイダを使用しておらず、古いデバイスを所有している場合、ユーザーは古いデバイス(iOS デバイスなど)のパスキーを使用して、新しいデバイス(Android デバイスなど)のアカウントにユーザーをログインさせることができます。サインインすると、ユーザーは新しいデバイスのプロバイダーでパスキーを作成できます。

それ以外の場合、RP は新しいデバイス (別のベンダーからのサインインである可能性があります) からのサインインを通常のアカウント回復状況として扱い、ユーザーをサインインさせるための適切な手順を実行できます。

はい、今日のFIDOセキュリティキーは デバイス固定パスキー 格納でき、2019年にFIDO2がユーザー検証による検出可能な資格情報によるパスワードレスサインインのサポートを追加して以来、そうしています。 すべてのクライアントOSプラットフォームとブラウザーは、すでにセキュリティキーを行使するためのネイティブサポートを備えています。 セキュリティキー・ベンダーは、将来的に同期パスキーの同期をサポートすることを選択する可能性があります。

すべてのパスキーはFIDO認証資格情報であるため、FIDOのサポートを実装するウェブサービスは、すべてのパスキーの実装をサポートすることができます。

特定のコンプライアンス要件を持つ特定の環境では、暗号鍵のコピーが1つだけ利用可能であることを保証する必要があるかもしれません。 FIDOセキュリティキー上のパスキーは、そのようなユースケースに最適なソリューションです。

また、ユーザーが他のすべてのモバイルやパスキーが同期されている他のデバイスにアクセスできなくなったシナリオでは、このようなFIDOセキュリティキーが回復資格情報として機能します。