パスキー
よりシンプルで強力なパスワードレス・サインインの利用を加速する
パスキー
/m_2C8↩pasˌkēs/
名詞
FIDO標準に基づくパスキーは、パスワードに代わるもので、ユーザーのデバイスにまたがるウェブサイトやアプリへのサインインを、より速く、より簡単に、より安全にする。 パスワードとは異なり、パスキーは常に強固でフィッシングに強い。
Passkeyは、アプリやウェブサイトのアカウント登録を簡素化し、使いやすく、ユーザーのほとんどのデバイスで機能し、物理的に近くにある他のデバイスでも機能する。
なぜパスキーなのか?
パスワードは問題だ。
*HYPR、2022年パスワードレス・セキュリティ・レポート – レポートのダウンロードはこちら。
レガシー認証ソリューションは、セキュリティの問題に対処していない、あるいは、大規模な消費者の利用には十分に使えない。
fido認証は、パスワード問題に対する世界の答えである。
FIDO認証は、フィッシングに強いセキュリティで、よりシンプルなユーザーエクスペリエンスを提供します。
パスキーはFIDO認証のアクセスとユーザビリティを最適化する
組織は様々なユースケースにおいて、パスキーによるFIDOサインインを導入することができる。 Passkeyは、ユーザーがすべてのアカウントですべてのデバイスを再登録することなく、新しいデバイスであっても、多くのデバイスでFIDOサインイン認証情報にアクセスすることを可能にする。 あるいは、FIDOセキュリティキーまたはプラットフォームにバインドされたデバイスバインドパスキーは、同期を必要としない組織向けのオプションである。
ユーザーはパスキーをどのように使うのか?
ユーザーがアプリやウェブサイトへのサインインを求められると、ユーザーはデバイス(電話、コンピューター、セキュリティキー)のロックを解除するのと同じバイオメトリクスやPINでサインインを承認する。 アプリやウェブサイトは、従来の(そして安全でない)ユーザー名とパスワードの代わりに、この仕組みを使うことができる。
これが意味するものは…
ユーザー・エクスペリエンス
ユーザーエクスペリエンスは、ユーザーの多くのデバイスで使い慣れた一貫性のあるものになる。指紋や顔、またはデバイスの暗証番号の単純な認証であり、消費者がデバイスのロックを解除するために毎日何度も行っているのと同じ単純な操作である。
セキュリティ
PasskeysはFIDO認証に基づいており、フィッシング、クレデンシャル・スタッフィング、その他のリモート攻撃の脅威に対する耐性が証明されている。 また、サービス・プロバイダーは、サインインやアカウント回復の代替手段として、パスワードを必要としないパスキーを提供することができる。
スケーラビリティ
パスキーを使えば、ユーザーは各サービスや各新規デバイスで新しいFIDOクレデンシャルを登録する必要がない(通常、最初のサインインにはパスワードが必要になる)。 ユーザーのパスキーは、デバイスを交換しても、必要なときにいつでも利用できる。 同期をサポートしないデバイス・バインド・パスキーは、ユーザーのパスキーの証明証明を追加で必要とする組織のためのオプションです。
パスキー・ロゴ
パスワードの代わりにパスキーを使用できるサイトでは、パスキーのロゴを探してください。 このロゴの使用を希望されるサービスプロバイダーは、FIDO Trademark and Service Mark Usage Agreement for Websitesをご覧いただき、条件に同意の上、ロゴファイルをダウンロードしてください。
passkeyロゴスタイルガイドファイルのダウンロード
リソース
開発者向けリソース
準備はできたか?
アップルとグーグルは、開発者向けにこれらのパスキーリソースを作成した:
ビデオ
活躍するパスキー
プラットフォーム間のパスキーのデモ。
パスキー入門
パスキーの徹底解説。
よくある質問
パスキー
Passkey(パスキー)とは何ですか?
パスワードを使わないあらゆるFIDO認証資格情報がパスキーです。
Passkeys(パスキー)はパスワードの置き換えとなり、ユーザーが保持するデバイスをまたがって、ウェブサイトやアプリへの迅速で、容易かつ、より安全なサインインを提供します。パスワードとは異なり、パスキーはフィッシング耐性があり、常に堅牢で、秘密(シークレット)を共有することがないように設計されています。
アプリやウェブサイトのアカウント登録を簡素化し、使いやすく、ユーザーのすべてのデバイス、さらには物理的に近接した他のデバイスでも機能します。
技術的な観点からは、パスキーはパスワードレス認証のための「発見可能な」FIDO認証資格情報です。暗号鍵は、安全なユーザー認証に使用されるエンドユーザーデバイス(パソコン、携帯電話、またはセキュリティキー)から使用されます。
携帯電話やパソコンのOSで管理されているパスキーは、クラウドサービスを介してユーザーのデバイス間で自動的に同期されます。クラウドサービスは、FIDO認証資格情報の暗号化されたコピーも保存します。1つのデバイスからのみパスキーを利用可能とし、FIDO認証資格情報の暗号化されたコピーを不可とするような設計をすることも可能です。このようなパスキーは、「単一デバイス・パスキー」と呼ばれることがあります。たとえば、物理的なセキュリティキーは、複数の単一デバイス・パスキーを含むことができます。
「パスキー」という単語は普通名詞で、「パスワード」と同じような意味合いと考えてください。文頭を除いては小文字で書くべきです。「パスキー」(および複数形の「パスキー」)という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームに結びついた機能ではありません。
区別する場合には、クラウドサービスを介してユーザーのデバイス間で同期するパスキーは、一般的に「同期パスキー」と呼ばれ、1つのデバイスから外に出ることのない(UAFアプリ上のものを含む)パスキーは、「デバイス固定パスキー」と呼ばれます。
同期パスキーのユースケースは?
同期パスキーの主な用途は、アカウント認証の第一/主要な要素としてパスワードを置き換えることです。
例えば、ユーザーは携帯電話でパスワードの代わりに同期パスキーを使ってウェブサービスにサインインすることができます。携帯電話ベースの同期パスキーはユーザーのすべてのデバイスで同期されるため、新しい携帯電話にアップグレードする際にもシームレスに移行することができます
同期パスキーのユーザー体験はどのようになりますか?
ユーザーがウェブサイトやアプリへのサインインを求められたとき、ユーザーのデバイス(携帯電話、パソコンまたはセキュリティキー)のロック解除をするのと同じ生体情報やPIN情報を使って、サインインを承認します。アプリやウェブサイトは、従来のユーザー名とパスワードの代わりに、このメカニズムを利用できます。
ユーザーの生体情報は安全ですか?
はい。ユーザーのデバイス(携帯電話、パソコン、セキュリティキー)が実行しているローカルでの生体情報処理に変更はありません。生体情報と、その処理はデバイスに残り、リモートのサーバーに送られることはありません。(サーバーは生体情報の検証が成功したことの保証を見るのみです)
パスワードと第二の要素との組み合わせよりもパスキーが優れているのはなぜですか?
長年にわたり、パスワードの使いまわしやデータベースに対する侵害の横行により、パスワードはフィッシング攻撃やクレデンシャルスタッフィング攻撃の対象になってきました。
第一の要素であるパスワードは、根本的に複数の点で問題があるため、業界では、第二の要素を追加する方法が広く採用されています。しかし、残念なことに、ワンタイムパスワード(OTP)や電話による承認など、最も一般的な第二の要素は、不便で安全ではありません。これらはフィッシング攻撃の対象となる可能性があり、実際、大規模なフィッシング被害が発生しています。
パスキーはFIDO認証資格情報なので、単独で「パスワード+OTP」または「パスワード+電話による承認」の組み合わせよりも安全な第一の要素を手に入れることができます。
同期パスキーがデバイスの外に出て、他のデバイスと同期されることは安全ではないのではないですか?
Passkeyの同期はエンドツーエンドで暗号化されており、同期プロバイダは強力なアカウントセキュリティ保護機能を備えています。
さらに、できるだけ多くの場面でパスワードを置き換えることにより、サインインをより簡単に、根本的に安全にすることをミッションとするFIDOにとって、同期が非常に重要となります。
なぜなら、パスワードを置き換えるということは、3つの側面でパスワードと「競合」することを意味するからです:
- スピード:パスワードを生成または使用するよりも高速であるべきです。
- 利便性:パスワードを使用するよりも便利であるべきです。最低限でもパスワードと同じくらい便利であるべきです。
- セキュリティ:フィッシング耐性があり、アプリ/ウェブサイト/サービスごとに一意であることが保証されている必要があります。
スピード
同期パスキーを生成することで、ユーザーはパスワード利用に求められる複雑な要件に対応する必要がなくなります。登録は生体認証やPINコードの入力と同じくらい簡単で、同期パスキーによるサインインも生体認証やPINコードだけでよく、どちらもパスワードの入力より高速です。
パスワードの代替に求められる利用のしやすさは、パスワードの利便性と同等かそれ以上であることが必要です。利用しやすいという視点からのパスワードの主な利点の1つは、どのデバイスからでも使用できることです。
同期することで、同期を提供する同じOSプラットフォーマーを利用しているユーザーのすべてのデバイスから同期パスキーを利用できるようになります。また、パスワードと同様に、他のデバイスからウェブサイトを訪問しても、認証資格情報の登録/生成フローを経る必要はありません。Bluetooth Low Energy(BLE)を使用して物理的な近接性を確認するFIDOアライアンスのClient to Authenticator Protocol(CTAP)の拡張機能によって、OSプラットフォームをまたがるデバイス間でのサインインがサポートされています。
暗号鍵がユーザーのパソコンまたはモバイル・デバイスに紐付けされている場合、ユーザーが新しいデバイスを取得するたびに、RP(Relying Party, サービス提供者)は他の認証方法(通常はパスワードなどの知識ベースの認証資格情報)にフォールバックする必要があります。実際には、新しいデバイスでの最初のサインインが不便となり、フィッシング攻撃の対象になりえます。
同期パスキーは、ユーザーが必要なときにそのデバイスからWebサイトへの最初のサインインから、ユーザーのデバイスで利用できるため、この問題を解決することができます。
また、パスワードを忘れてしまったり、メールや電話番号のバックアップをとっていなかったりすることもあります。同期パスキーの場合は、デバイスさえあればサインインできるので、忘れることはありません。また、同期パスキーはバックアップが可能なため、紛失防止にも役立ちます。
セキュリティ
FIDO認証資格情報であるパスキーは、(フィッシング、クレデンシャルスタッフィング、パスワードデータベース侵害などの脅威に常に直面している)RP(Relying Party, サービス提供者)が、パスワードをFIDO認証資格情報に置き換えることを可能にするものです。FIDO は、非対称暗号に基づくチャレンジ・レスポンス認証プロトコルをRPに提供します。これは、フィッシング耐性があり、サーバー上に秘密(シークレット)を保持しないことを意味し、結果としてセキュリティにおける大きな前進となります。
フィッシング耐性は、FIDO認証の中核となる設計目標です。この目標は、暗号鍵がハードウェアに紐付けされているか否かにかかわらず、サインイン時に達成されます。さらに、攻撃者にとってパスワードデータベースに対する侵害は魅力的な攻撃ですが、盗むべきパスワードが存在しないため、もはや脅威とはなりません。
オンラインサービス ( RP:Relying Party、サービス事業者)は認証に同期パスキーをどのように利用できますか?
RP(Relying Party, サービス提供者)はRPのウェブサイトやアプリにサインインするのに同期パスキーを使う場合、それに対応するWebAuthnとFIDO APIsを使うことになります。同期パスキーは主要なモバイルOSやパソコンOSおよびブラウザで、そのサポートが組み込み済み、もしくは組み込まれる予定です。
様々なプラットフォームをまたがって、同期パスキーが利用可能となる時期はどうなっていますか?
ユーザーのすべてのデバイスに自動的に同期するOSプラットフォームに組み込まれたパスキーは、現在利用可能か、近い将来に利用可能となります。
- Apple社は、2022年9月にiOS 16ですでにサポート済みで、2022年10月にiPadOS 16とmacOS Venturaでサポートを開始済みです。
- Google社は、2022年10月にAndroidやChromeでのサポートを発表し、現在すでにサポート済みです。2023年中にChromeOSでのパスキーのサポートを計画しています。
- マイクロソフトは、Windows Insiders Build内でパスキーのサポートを発表しており、2023年後半から2024年にかけて、より広範なパスキーのサポートを提供する予定です。
ほとんどのプラットフォームでは、携帯電話やセキュリティキーなど、近くにあるデバイスからの同期パスキーによるサインインにすでに対応しています。これらは以下の通りです:
- WindowsのMicrosoft EdgeとGoogle Chrome
- macOSのEdge、Safari、Google Chrome
- ChromeOS
詳しくは、次の2つの質問もご参照ください。同期パスキーは、2019年からすべてのOSプラットフォームとブラウザで利用できるようになった同じWebAuthn APIを使用してアクセスされます。同期パスキーのデバイスをまたがっての同期は、OSによって透過的に管理されます。
同期パスキーをユーザーの保持するデバイスをまたがって利用する方法は?
デバイスOSプラットフォームでは、デバイス(携帯電話やノートパソコンなど)の同期パスキーが、ユーザーのプラットフォーム・アカウント(iOS/macOSではApple ID、Android/ChromeOSではGoogleアカウント、WindowsではMicrosoftアカウント)に紐付いてデバイスクラウドに同期される機能が実装されています。同期パスキーの同期はエンドツーエンドで暗号化されています。
ユーザーが自身のデバイスのどれかで同期パスキーを生成した時、同じOSプラットフォームを使っているユーザーの他のデバイスのすべてで同期を取ることができます。このように、同期パスキーは一つのデバイスで生成されれば、すべてのデバイスで利用可能となります。
注目すべきは、ユーザーが同じプラットフォームOSを搭載した新しいデバイスを入手し、プラットフォーム・アカウントで設定した場合、ユーザーの同期パスキーは新しいデバイスに同期され、新しいデバイス上でRP(Relying Party, サービス提供者)のサービス(ウェブサイトやアプリ)にサインインする際に利用可能になる点です。
RPが提供するサービス(ウェブサイトやアプリ)向けにデバイス上ですでに同期パスキーが利用できない場合、ユーザーのサインインはどうなりますか?
例を用いて説明します。ユーザーがRP(Relying Party, サービス提供者)の提供するサービス向けの同期パスキーをすでに保持しているAndroidスマートフォンを持っているとします。ユーザーが過去にサインインしたことのないWindowsコンピュータからRPの提供するウェブサイトへサインインしたい場合を考えます。
ユーザーはWindowsコンピュータ上でRPのウェブサイトに行きます。それからRPのウェブのログイン画面に表示されたサインイン・ボタンをクリックします。他のデバイスを使ってサインインするオプションがあることが表示され、ユーザーはそれを認識します。
他のデバイス(ユーザーのAndroidスマートフォン)がWindowsコンピュータに物理的に十分近接(BLE通信が可能な範囲)していれば、ユーザーはAndroid OSからのポップアップ・メッセージを見ることになります。そのメッセージは「このデバイスの近くにあるコンピュータからRPのウェブサイトにサインインしようとしています。次のアカウントが選択できます。」と示し、選択を促します。ユーザーはアカウントを選択すると、Android OSは「選択したアカウントでコンピュータからサインインすることを承認する場合にはロック解除の操作を実行してください。」と表示され、ユーザーはロック解除の操作を実行し、ウェブサイトにサインインします。
別の方法では、RP(Relying Party, サービス提供者)にすでに登録済みのセキュリティキー・デバイスを使って、ユーザーはかなり似たようなフローでサインインを実行できます。ユーザーはWindowsコンピュータ上でRPのウェブサイトに行きます。RPが認証を求めた時、ユーザーはセキュリティキー・デバイスを挿入し、生体情報またはPINでセキュリティキーのロック解除を行い、ウェブサイトへサインインします。
上記の例で示されたフローはユーザーの携帯電話のOSや、ターゲットのデバイス(例えば、パソコン、タブレット端末、TV等)上で利用可能なOSとブラウザに関係なく、ログインを実行できます。またはユーザーが持つFIDO準拠のセキュリティキーのモデルに関係なく動作します。
上記で示されたフローは、Chrome OS、Windows、MacおよびLinux上のGoogle ChromeおよびMicrosoft Edgeで利用可能です。
Bluetoothを使った近接デバイス上でのFIDOサインインの実行は安全なのでしょうか?
CTAP2.2を使ったデバイスをまたがるFIDO認証フローは、物理的な近接性を確認するためにBluetoothを使用し、サインインの実際のセキュリティのためにBluetoothセキュリティプロパティに依存することはありません。データを保護するために「hybrid」と名付けられたCTAPトランスポートが、標準のBluetoothのセキュリティ特性の上で、標準的な暗号化技術の追加レイヤーを使用しています。
同期パスキーは多要素認証と考えられますか?
同期パスキーはユーザーのデバイス上で保持されており(ユーザーが「保持」するもの)、RP(Relying Party, サービス提供者)がユーザー検証を要求した場合、ユーザーは生体情報(ユーザー「自身」を表すもの)またはPIN(ユーザーが「知っている」もの)と組み合わせた場合にのみに使うことができます。したがって、パスキーを使った認証は多要素認証の大原則に則っています。
RPは、デバイス上に存在する同期パスキーがOSプラットフォーム・ベンダーのアカウントから単一の要素(例えばパスワード)によって、攻撃者が利用可能になることを懸念しているかもしれません。OSプラットフォーム・ベンダーは、ユーザーを認証し、デバイスに同期パスキーを復元する際に、ユーザーのパスワード以外の(ユーザーが認識可能なもの、認識できないものを含め)複数のシグナルを考慮していますので、懸念には該当しません。
いくつかの法律・規制に対する準拠という観点からは、同期パスキーが多要素の1つとして公式にリストアップされるには、時間を要すると考えられることに留意してください。これは、現在FIDOアライアンスが積極的に取り組んでいる分野です。
ユーザーは、どのようにサインインのためのデバイスとして新たなモバイル・プラットフォームに切り替えることができますか?(例: AndroidからiOSへ、またはその逆)?
ユーザーが使用していたデバイスをまだ保持しているなら、ユーザーは使用していたデバイス(例えばAndroidデバイス)上の同期パスキーを使って、新たなデバイス(例えばiOSデバイス)にサインインします。いったんサインインすれば、ユーザーは新しいプラットフォーム・アカウントにパスキーを生成可能です。
ユーザーがFIDOセキュリティキーを持っているなら、セキュリティキーを使って、新しいデバイスで安全に認証を実行できます。
ユーザーが使用していたデバイスやセキュリティキーを持っていない場合、通常のアカウント・リカバリ状態として、RPは新しいデバイスからのサインインとして扱い、ユーザーのサインインに適した手順を実行します。
FIDOセキュリティキーは同期パスキーをサポート可能ですか ?
はい、FIDOセキュリティキーは今日、デバイス固定パスキーをサポートしており、FIDO2がユーザー検証を伴う発見可能な認証資格情報によるパスワードレス・サインインのサポートを追加した2019年からそうなっています。すべてのクライアントOSプラットフォームとブラウザーは、すでにセキュリティキーを行使するためのネイティブサポートを備えています。セキュリティキー・ベンダーは、将来的に同期パスキーの同期をサポートすることを選択する可能性があります。
ウェブサービスは同期パスキーを活用して、さまざまなユースケースをサポートすることができます。例えば、ユーザーが新しいコンピュータを入手した場合、コンピュータに近接してセキュリティキーを提示し(USBに差し込む、NFCをタップするなど)、オンラインアカウントにサインインすることが可能です。
すべてのパスキーはFIDO認証資格情報であるため、FIDOのサポートを実装するウェブサービスは、すべてのパスキーの実装をサポートすることができます。
特定のコンプライアンス要件を持つ特定の環境では、暗号鍵のコピーが1つだけ利用可能であることを保証する必要があるかもしれません。FIDOセキュリティキー上のパスキーは、そのようなユースケースに最適なソリューションです。
また、ユーザーが同期パスキーが同期されている他の携帯電話やその他のデバイスのすべてにアクセスできなくなったシナリオでは、そのようなFIDOセキュリティキーはリカバリの認証資格情報として機能することが可能です。