ホーム テクノロジー セキュリティ 非公開: パスキーとは何ですか?これはコンシューマ アプリにとって何を意味しますか?

パスキーとは何ですか?これはコンシューマ アプリにとって何を意味しますか?


パスワードは長年の懸案事項でした。悪名高いことに、私たちの多くは予測可能で弱いパスワードをデフォルトで使用しており、そうでない場合でも、複雑なパスワードを覚えるのが困難になります。

パスキー
パスキー

不安な事実は、複雑な組み合わせを持つ強力なパスワードであっても、フィッシングや詐欺の影響を受けないわけではないということです。パスワード マネージャーは一時的な解決策でしたが、欠点や脆弱性がありました。

しかし、その地平線は有望なものをもたらします。開発に 10 年近くを費やした後、パスキーはデジタル セキュリティに革命を起こすことになります。ここでは、それらが何であるか、デジタル認証の状況をどのように変えることになるのか、そしてこれが消費者向けアプリにとって何を意味するのかについての入門書を紹介します。

パスキーについて理解する

従来のユーザー名とパスワードの組み合わせの代わりに、パスキーを使用すると、オンライン プラットフォームにログインするためのより安全で簡単な方法が提供されます。パスキーの利点は、公開キー暗号化に依存していることにあります。技術的なことにはあまり深く立ち入りませんが、ログインするたびに、デバイスは一意のログイン資格情報を受け取ります。

このプロセスにより、ハッカーがあなたの情報を入手するリスクが最小限に抑えられます。この画期的な成果は、より安全な認証方法の差し迫った必要性を認識した、Apple、Google、Microsoft などのテクノロジー大手のコンソーシアムである FIDO Alliance による取り組みの結果です。

パスキーはどのように機能しますか?

パスキーは Web 認証 (WebAuthn) の傘下にあります。このシステムは、さまざまな安全なメッセージングおよび支払いプラットフォームで使用される実証済みの方法である公開キー暗号化を活用しています。

簡単な内訳は次のとおりです。

  1. 公開キーと秘密キー: アカウントの作成時に、2 つのキーが生成されます。サービスのサーバーに保存される公開キーは、機密である必要はありません。対照的に、秘密キーはデバイス上で安全に保護されたままになります。
  2. 認証プロセス: ログイン時に、サービスは公開キーを利用してデバイスにチャレンジします。デバイス上の秘密キーは、機密情報を漏らすことなく、この課題を解決します。これにより、ハッカーから保護された安全な認証が保証されます。

ユーザーにとって、このプロセスはほとんど目に見えないままです。 PIN または FaceID や TouchID などの生体認証を求める単純なデバイスまたはブラウザのプロンプトだけが表示されます。

パスキーには、それぞれの大手テクノロジー企業 (Apple、Google、Microsoft) のクラウド サービス間でこれらのキーを同期する追加のレイヤーがあります。この重要なレイヤーはユーザー エクスペリエンスのギャップを埋め、キーを再登録することなくデバイス間のシームレスな切り替えを可能にします。これは、FIDO2 の主流採用への大きなギャップと考えられています。

パスキーは定義上、複数の要素を包含するため、多要素認証 (MFA) の定義を満たしており、具体的には次の条件を満たしています。

  • 所有要素 (あなたが持っているもの) – ユーザーは秘密キーを含むデバイスを所有しています。
  • 固有要素または知識要素– ユーザーの生体認証 (FaceID、Touch ID、指紋) またはデバイスの PIN コード

これらのプロパティにより、パスキーがサインイン シナリオの有効な唯一の認証要素になったり、ステップアップ認証シナリオで他の要素を補完したりできます。実際の実装については、このパスキーのデモを確認してください。

デバイスの互換性

現時点では、パスキーのクロスプラットフォーム機能はまだ開発中です。 Apple の iOS および macOS デバイスは、Google の Android デバイスと同様にパスキーをサポートしています。 Microsoft もパスキーのサポートを強化しており、重要なアップデートが予定されています。

最新のデバイス サポート リストは次のとおりです。

パスキーの実装を始めるには何をすればよいでしょうか?

必要なインフラストラクチャが整備されていれば、パスキーの実装は簡単です。アーキテクチャの重要な部分は WebAuthn バックエンド サービスまたはサーバーで、パスキー管理のライフサイクル全体を管理するバックエンド API エンドポイントを提供します。

パスキーの実装
パスキーの実装

WebAuthn サービスが確立されると、クライアント側の登録および検証の儀式を実行するためにクライアント側の SDK およびライブラリにアクセスする必要があります。良いニュースとしては、現在、プロセスを簡素化できるクライアント側ライブラリが多数広く利用可能になっているということです。たとえば、Authsignal は次の SDK をここで提供しています。

  • パスキー用の Javascript SDK
  • パスキー用の React Native SDK
  • パスキー用の iOS SDK
  • パスキー用の Android SDK

技術的な統合は、より広範な実装の一部にすぎないことに注意することが重要です。ユーザー エクスペリエンスとセキュリティに関する考慮事項をよく理解する必要があります。 パスキーの実装に関する考慮事項については、ブログ投稿で詳しく説明されています。

パスキー、未来は今です。

私たちは現在、Passkeys テクノロジーが急速に成熟するエキサイティングな交差点にいます。最近のブラウザとデバイス、特に Apple や Android エコシステムではパスキーが広くサポートされており、主流の消費者向けアプリは現在、パスキー機能をリリースしています (Kayak、TikTok など)。最後に、バックエンド WebAuthn サービスやクライアント SDK などのすべてのコンポーネント部分を提供する Authsignal のような、すぐに使えるパスキー ソリューションにより、技術的な統合がより簡単になりました。

アプリケーションが顧客とのやり取りの重要な部分としてパスキーを採用し、シームレスなユーザー エクスペリエンスを提供するだけでなく、より重要なことに、非常に安全なユーザー エクスペリエンスを提供するために、大きな言い訳や障壁があってはなりません。

「パスキーとは何ですか?これはコンシューマ アプリにとって何を意味しますか?」についてわかりやすく解説!絶対に観るべきベスト2動画

What are Passkeys? -パスキー解説 – 楽天グループ
ドコモのWeb認証・パスキー対応について – NTTドコモ