パスキーのある携帯電話を紛失した場合はどうなりますか?

パスキーが iCloud / Google アカウントに同期されている場合は、新しいデバイスでそのアカウントにサインインすることでパスキーを回復できます。デバイスにバインドされている (ハードウェアキー) 場合は、通常、バックアップデバイスも登録します。パスキーをサポートするすべてのサイトでは、少なくとも 2 つを登録することを推奨しています。どちらも失敗した場合、回復フローは電子メール/SMS に戻ります。

パスキーは生体認証ログインと同じですか?

正確には違います。生体認証 (Touch ID、Face ID) は、デバイスのパスキーのロックを解除するものです。パスキー自体は暗号化キーです。指紋がデバイスから離れることはありません。サイトでは、安全な領域内のキーからの署名のみが認識されます。生体認証により暗号化が認証されます。それは伝わりません。

パスキーは盗まれる可能性がありますか?

秘密キーは安全なハードウェア (Secure Enclave、TPM、TitanM2) 内に存在し、抽出できないように設計されています。 iCloud または Google アカウントが侵害された場合、クラウド同期されたパスキーが公開される可能性があります。そのため、これらのアカウントには独自の強力な保護 (理想的にはハードウェアキー 2FA による) が必要です。

すべての Web サイトはパスキーを使用できますか?

WebAuthn を実装しているサイトのみ。採用は広範囲に及んでいますが、不均一です。大手のテクノロジーサイトや金融サイトは通常サポートしていますが、小規模なサイトはサポートしていないことがよくあります。サイトがパスキーをサポートしていない場合は、パスワード + 2FA に戻りますが、これは問題ありません。

パスキーはハードウェアキーより安全ですか?

フィッシング耐性の特性としてはほぼ同等です。ハードウェアキーには 1 つの利点があります。それは、コンピューターまたはクラウドアカウントが侵害された場合でも、資格情報が流出することがないということです。同期されたパスキーはより便利で、同様にフィッシング耐性がありますが、完全に侵害されたクラウドアカウントに対する回復力は低くなります。一か八かのアカウントの場合は、ハードウェアキーを使用してください。日常的な使用には、同期されたパスキーが適切なバランスです。

パスキーの説明: FIDO2 と WebAuthn がパスワードをどのように消去しているか

Q: すべての Web サイトはパスキーを使用できますか?

WebAuthn を実装しているサイトのみ。採用は広範囲に及んでいますが、不均一です。大手のテクノロジー サイトや金融サイトは通常サポートしていますが、小規模なサイトはサポートしていないことがよくあります。サイトがパスキーをサポートしていない場合は、パスワード + 2FA に戻りますが、これは問題ありません。

Q: パスキーはハードウェア キーより安全ですか?

フィッシング耐性の特性としてはほぼ同等です。ハードウェア キーには 1 つの利点があります。それは、コンピューターまたはクラウド アカウントが侵害された場合でも、資格情報が流出することがないということです。同期されたパスキーはより便利で、同様にフィッシング耐性がありますが、完全に侵害されたクラウド アカウントに対する回復力は低くなります。一か八かのアカウントの場合は、ハードウェア キーを使用してください。日常的な使用には、同期されたパスキーが適切なバランスです。

パスキーは、パスワードの真の後継にこれまでで最も近いものです。共有シークレットの代わりに暗号化を使用して認証し、OS キーチェーンを介してデバイス間で同期され、フィッシング防止設計になっています。すべての主要なオペレーティングシステム、ブラウザー、および ID プロバイダーは現在、パスキーのサポートを出荷しています。

記事全文は以下に英語で記載されています。

A passkey は FIDO2 資格情報です。デバイスのオペレーティングシステムによって作成および保存される暗号化キーのペアで、パスワードを入力せずに Web サイトまたはアプリに対して認証するために使用されます。ブラウザは、サイトからのチャレンジに署名することで秘密キーの所有を証明します。サイトは登録された公開キーを使用して検証します。パスワードやコードは不要で、指紋や Face ID プロンプト以外の煩わしさはありません。

パスキーに代わるもの

従来のログインフローには 3 層の問題があります。

パスワードは推測可能です。 最も一般的なものは、辞書の単語と単純なパターンです。クレデンシャルスタッフィング攻撃は、漏洩したパスワードデータベースをすべてのサイトに対して再利用します。
パスワードは再利用可能です。 ユーザーはサービス間でパスワードを再利用するため、1 回の侵害で多くのアカウントが危険にさらされます。
2FA は固定されています。 SMS コードは傍受でき、TOTP はリアルタイムでフィッシングできます。ハードウェアキーは真のフィッシング防止機能を備えています。また、ハードウェアキーは一般ユーザーにとって摩擦が多すぎます。

パスキーは、パスワードと 2FA エクスペリエンスを、すでに認証されているデバイスでの 1 回の生体認証または PIN チェックにまとめます。

パスキーの実際の仕組み

基盤となるプロトコルは次のとおりです。ブラウザ側では WebAuthn (W3C 標準)、ハードウェアキーなどの別のデバイスが関係する場合は CTAP2 (クライアントから認証者へのプロトコル)。これらは一緒に FIDO2 フレームワークを実装します。

example.com でパスキーを登録すると:

サイトはブラウザに資格情報を作成するように要求します。
OS は ECC キーペアを生成します (通常は Secure Enclave/TPM/TitanM2 上)。
OS はパブリックキーを関連付けます。 example.com と認証情報 ID を含むキー。
ブラウザは公開キーをサイトに送信し、アカウントレコードに保存します。
秘密キーがデバイスの安全なストレージから離れることはありません。

次回ログイン時:

サイトはランダムなキーを送信します。チャレンジ。
ブラウザは、example.com の秘密キーを使用してチャレンジに署名するよう OS に要求します。
OS は、Touch ID、Face ID、Windows Hello、または PIN の認証を求めるプロンプトを表示します。
署名されたチャレンジはサイトに戻り、保存されている公開キーと照合して検証されます。
ログに記録されていますin.

パスキーがフィッシング対策である理由

ブラウザは、ユーザーがアクセスしている実際のドメイン (オリジン) に署名をバインドします。実際の example.com を使用している場合、署名は example.com になります。だまされて evil-example.com にアクセスすると、ブラウザは evil-example.com の署名を生成しますが、実際の example.com はそれを受け入れません。攻撃者は認証情報を傍受して再生することはできません。キャプチャするパスワードや TOTP コードのような再生可能な秘密はありません。

これは、ハードウェア FIDO2 キーをフィッシング防止にしたのと同じプロパティであり、別のドングルを必要としない OS 管理の認証情報に拡張されました。

同期とデバイスバインド

passkey:

Synced passkeys. OS キーチェーン (iCloud キーチェーン、Google パスワードマネージャー、1Password、Bitwarden) に保存され、デバイス間で同期されます。携帯電話で作成したパスキーを使用してラップトップからログインできます。最も消費者に優しい。
デバイスにバインドされたパスキー。 1 つのデバイス (通常はハードウェアキー) に留まります。毎回物理デバイスが必要になる代わりに、より高いセキュリティが保証されます (iCloud アカウントが侵害された場合でも流出することはありません)。エンタープライズおよび高セキュリティのユースケースでは、これらが好まれます。

クロスデバイスサインイン

近くのデバイスのパスキーを使用すると、パスキーを持たないデバイスにログインできます。標準的なフロー: ラップトップに QR コードが表示され、携帯電話でそれをスキャンし、携帯電話がパスキーで認証し、Bluetooth 近接チェック経由でアサーションをラップトップに送信します。高速で、電話機が同じ Wi-Fi 上にある必要がなく、Bluetooth が物理的近接性を証明するため、長距離攻撃を防ぎます。

2026 年に採用

パスキーのロールアウトは、一般的なセキュリティ標準よりも速く進みました:

Apple、Google、Microsoft は、2022 ～ 2023 年以降、OS キーチェーンでのパスキーサポートを出荷しました
1Password、Bitwarden、Dashlane が 2023 年に OS 間のパスキー同期を追加
パスキーをサポートしている主なサイトには、Google、Apple、Microsoft、Meta、Amazon、GitHub、eBay、PayPal、Best Buy、 Robinhood、さらに数百
多くのサイトは依然としてデフォルトでパスワード+2FAを使用しているが、オプションとしてパスキーを提供している

現時点での摩擦は主にサイトの採用とユーザーの慣れの問題だ。テクノロジーは解決されました。

パスキーでは不十分

いくつかの正直な制限:

アカウントの回復はより困難です。 すべてのデバイスと同期プロバイダーへのアクセスを失うと、パスキーを失う可能性があります。パスキーをサポートするサイトは依然としてアカウント回復フローを必要とし、多くの場合電子メールまたは SMS にフォールバックします。つまり、セキュリティフロアは依然として電子メールまたは電話プロバイダーです。
エコシステムによるロックイン。 Apple の iCloud キーチェーンは、Apple デバイス間でパスキーを適切に同期します。ベンダー間同期にはサードパーティのパスワードマネージャーが必要です。
フィッシング防止はアカウント乗っ取り防止ではありません。パスキーはフィッシングできませんが、ログイン後のセッション Cookie は依然としてマルウェアによって盗まれる可能性があります。

ほとんどのアカウントでは、パスキーはパスワードよりも厳密に優れています。移行は一度に 1 つのメジャーサイトごとに行われます。

よくある質問

パスキーのある携帯電話を紛失した場合はどうなりますか?: パスキーが iCloud / Google アカウントに同期されている場合は、新しいデバイスでそのアカウントにサインインすることでパスキーを回復できます。デバイスにバインドされている (ハードウェアキー) 場合は、通常、バックアップデバイスも登録します。パスキーをサポートするすべてのサイトでは、少なくとも 2 つを登録することを推奨しています。どちらも失敗した場合、回復フローは電子メール/SMS に戻ります。
パスキーは生体認証ログインと同じですか?: 正確には違います。生体認証 (Touch ID、Face ID) は、デバイスのパスキーのロックを解除するものです。パスキー自体は暗号化キーです。指紋がデバイスから離れることはありません。サイトでは、安全な領域内のキーからの署名のみが認識されます。生体認証により暗号化が認証されます。それは伝わりません。
パスキーは盗まれる可能性がありますか?: 秘密キーは安全なハードウェア (Secure Enclave、TPM、TitanM2) 内に存在し、抽出できないように設計されています。 iCloud または Google アカウントが侵害された場合、クラウド同期されたパスキーが公開される可能性があります。そのため、これらのアカウントには独自の強力な保護 (理想的にはハードウェアキー 2FA による) が必要です。
すべての Web サイトはパスキーを使用できますか?: WebAuthn を実装しているサイトのみ。採用は広範囲に及んでいますが、不均一です。大手のテクノロジーサイトや金融サイトは通常サポートしていますが、小規模なサイトはサポートしていないことがよくあります。サイトがパスキーをサポートしていない場合は、パスワード + 2FA に戻りますが、これは問題ありません。
パスキーはハードウェアキーより安全ですか?: フィッシング耐性の特性としてはほぼ同等です。ハードウェアキーには 1 つの利点があります。それは、コンピューターまたはクラウドアカウントが侵害された場合でも、資格情報が流出することがないということです。同期されたパスキーはより便利で、同様にフィッシング耐性がありますが、完全に侵害されたクラウドアカウントに対する回復力は低くなります。一か八かのアカウントの場合は、ハードウェアキーを使用してください。日常的な使用には、同期されたパスキーが適切なバランスです。