Open2
パスキー入門
Yuma Ito参考になったサイト
企業や団体によるWebサイト
FIDOアライアンスのWebサイト。
パスキーを気軽に体験できるデモサイト。
Googleによるパスキーの解説
個人ブログ
既存のユーザー認証方式の脆弱性、パスキーによるメリットの説明だけでなく、パスキー導入時における考慮ポイントまで説明されていて大変分かりやすい。
Auth0でのパスキー導入方法について解説されている。
パスキーのメリットや安全性について解説している。
Yuma Itoパスキーとは
パスキーとはパスワード認証よりもシンプルで安全なクロスデバイス認証技術のこと。ユーザーはパスワードを入力することなくサインアップ、サインインを行うことができる。
パスキーが導入されたWebサイトではログインの成功率があがり、離脱率の減少、コンバージョン率の向上、2要素認証のコスト削減などのメリットがある。
パスキーは公開鍵暗号方式が用いられている。デバイスの認証(指紋認証、顔認証、PIN、パターン)によって秘密鍵と公開鍵が作成される。公開鍵のみがサーバに保存され、秘密鍵はデバイスに安全に保管される。
それぞれの鍵はそれらが作成されたサイトでのみ使用可能であるため、フィッシングサイトで同じ鍵を使うことが不可能である。
パスキーは多くのブラウザやOSでサポートされている。
パスキーをスマホで作成すると、パスキーはプラットフォーム上にバックアップされ他のデバイスと同期可能である。
パスキーのユースケース
パスキーのユースケース | Authentication | Google for Developers
- 「パスキーでログイン」ボタンを表示するパターン(フォームなし)
- クリックするとアカウント選択画面が表示され、認証を進めることができる。
- パスキーを使っているユーザーにのみ表示することを推奨している。
- パスキーを使っていないユーザーがいる場合には次の「フォーム項目にパスキーの自動入力の候補を表示」を推奨している。
- フォーム項目にパスキーの自動入力の候補を表示するパターン
- パスキーではなく、パスワードを利用しているユーザーがいる場合、ログインフォームを表示する必要がある。
- パスキー利用者とパスワード利用者の2者をサポートするには、ユーザー名とパスワードのフォームを表示しパスワードとパスキーの自動入力候補を表示することができる。
- 詳しい実装方法:フォームの自動入力でパスキーを使用してログインする | Articles | web.dev
- 再認証するパターン
- セッションが切れた場合や機密性の高い情報にアクセスする際に再認証を行う。
- スマートフォンでログインするパターン
- スマートフォンでパスキーを生成していれば他のプラットフォームのデバイスでログインすることができる。
- 例えばMacOSのSafariでログインしようとした際に、Safariに表示されたQRコードをAndroid端末で読み取りパスキーで認証を行うことでSafariからログインすることができる。
- Bluetoothを利用することで2つのデバイスが近くにあることを確認している。