Passkey(パスキー)
パスキーとは
パスキーとは、パスワードに置き換わるFIDO認証資格情報です。
ユーザーのデバイスを問わず、ウェブサイトやアプリケーションへのより速く、簡単、安全なサインインを提供するパスワードの代替品です。
パスキー認証の仕組み
パスキー認証は公開鍵暗号方式に基づいています。パスキーでウェブサイトにサインインする際には、サーバーからのチャレンジをデバイス内に保存された秘密鍵で署名し、サーバーに送信します。サーバーは事前に登録してあった、署名に用いた秘密鍵の対となる公開鍵で署名の検証を行うことで認証します。
デバイス内に保存された秘密鍵で署名する際に、PCやスマホであればそのデバイスに搭載のロック解除機能(Windows Hello、Face IDなど)で本人確認を行います。本人検証はローカルで行い、サーバー側では署名検証のみを行うため、認証資格情報を窃取するようなフィッシング攻撃に耐性があります。
パスキーのメリット
パスキーはパスワードに代わるもので、アプリやウェブサイトへのサインインをより速く、簡単に、そしてより安全に行うことができます。
パスキーは、認証に必要な認証資格情報がデバイスのみに保存されオンラインに流れないため、フィッシング耐性があります。
また、耐タンパー性に優れた領域(TPMやSE※)に秘密鍵を保持しているため、デバイスを攻撃して認証情報を盗むハッキングに耐性があり、さらにサーバーには公開鍵しか保存していないため、サーバーから認証情報を搾取(ハッキング)が難しいです。
デバイスを紛失したとしても、秘密鍵にアクセスするにはそのデバイスのロックを解除しないといけないので、悪用されにくいという利点があります。
※TPM(Trusted Platform Module):セキュア暗号化プロセッサの国際標準のことです。暗号鍵の生成などの処理を行う専用のプロセッサであり、PCのマザーボードなどに搭載され運用されます。パスワードや暗号鍵の保存・処理に用いられ、Webや外部からの不正アクセスを遮断します。
※SE(Secure Enclave):iOS/iPadOSデバイス、MacのTouch IDあるいはFace ID対応モデルのApple A7, T1以降、Apple TV、Apple Watch、HomePod に搭載されているセキュリティコプロセッサです。指紋データや顔認証データは、Secure Enclave内に保存され、インターネット経由やApp経由(システム含む)からはアクセスが不可能になっています。
よくある質問
「パスキー」という用語はどのような時に使いますか?
「Passkey(パスキー)」とは、FIDO認証資格情報のことで普通名詞です。「password」という単語を使用するのと同じようにお考えください。
例として “オンラインアカウントにサインインするためにパスキーを使用しています” となります。 パスワードレス認証のFIDO認証資格情報(クレデンシャル)はすべて「パスキー」となります。クラウドサービスを介してユーザーのデバイス間で同期されるパスキーは一般的に「同期パスキー」と呼ばれ、単一のデバイスから離れることのないもの(UAFアプリのものを含む)は「デバイス固定パスキー」と呼ばれます。
FIDO認証に対応しているデバイスは?
原則、FIDO認証に対応しているデバイスであれば、パスキーに対応しています。
デバイスを紛失、または盗難された場合どうなりますか?
データは安全なままです。例えばiPhoneやmacOSでは、パスキーはiCloudキーチェーンを通じてエンドツーエンドで暗号化され、復号化するにはFace IDやTouch IDなどの生体認証、またはデバイスのパスコードが必要です。これらがなければ、パスキーは紛失したデバイスに安全に保存されたままになります。
パスキーと多要素認証(MFA)の違いは何ですか
パスキー認証は多要素認証(MFA)です。
パスキー認証(FIDO認証)と従来の多要素認証の違いとして、パスキー認証はPhishing Resistant MFA(フィッシング耐性のあるMFA)と呼ばれており、フィッシング耐性に優れています。
Googleへのログインにパスキーは使えますか?
使用できます。
パスキーを使用すると、指紋認証、顔認証、またはPINなどのデバイス画面ロックを使用して、Googleアカウントにログインできます。
Android端末でパスキーは使えますか?
使用できます。
Androidで作成されたパスキーは、Googleパスワード マネージャーに保存されます。
関連ページ
- パスキーについてより詳しい情報はこちら
パスキー認証 | パスキー認証の詳細と、CloudGate UNOでの認証の仕方(デモ動画付き)FIDO2(パスキー)によるパスワードレス認証 | FIDO2について学ぶ - パスキーについてのブログはこちら
サイバーセキュリティの脅威と対策:日本のインフラと人的要因の影響 パスワードのない世界へのマイルストーン「パスキー」 - パスキーの導入についてはこちら
企業様必見! 段階的なパスワードレスの導入で無理なくセキュアな環境へ
パスキーを使ったログインを
体験してみませんか?
CloudGate UNOはパスキー対応のため、SSOやアクセス制限などの機能とあわせて利用することでセキュリティ向上と生産性向上を両立できます。
お問合せはこちら