仕事を探す
サービス出品
ブログを投稿
ココナラブログ

パスワードレスを実現するパスキーについて

記事
IT・テクノロジー
user
スガ〜
2023/01/03 20:31
どうも。スガ〜です。

ココナラのブログでどこまで書けるか試していきつつ、情報セキュリティに関する話題を出していこうと思います。
できるだけ分かり易く(と思い込んでいる)内容にしていきたいと思います。外部サイトへのリンクを貼れないので、みなさまが調べていけるように、外部の検索サイトで調べていけるキーワードを太字にして示します。なお、検索したときは、悪意のあるサイトにアクセスしないよう十分にご注意ください。
また、読み方が分かりにくいなぁと感じたIT系の用語は、角括弧[ ]内にカタカナで読み方を付けておりますので参考にしていただければと思います。

パスキー(Passkey)とは

パスキーPasskey)は、パスワードを使用しないログイン/サインインの仕組みです。パスワードの代わりとして認識しやすいように、「パスキー」というブランドで扱うようになっています。

ウェブサービスなどの登録にパスワードを考える必要がなく、ご自身が持っているスマートフォンやPCが鍵として働いてログイン/サインインできるので、便利で嬉しいですよね。

Appleでは、2022年9月からスマートフォンやMac PCなどSafariブラウザを使用する機器で使えるようになりました(iOS 16以降、iPadOS 16以降、macOS Ventura以降、tvOS 16以降で対応)。

Googleでも、2022年12月からスマートフォンやChromebook、Windows PCなどのChromeブラウザを使用する機器で使えるようになりました(Google Chrome 108以降で対応)。

Microsoftは、今年対応させるようです。(※正確な時期は不明です。)

Appleの製品発表会で大々的に宣伝していたし、いろいろなサイトでパスキーに関する説明が出ているので「パスキー」をキーワードに検索してどのようなものかを確認してみると良いかと思います。

パスキーが使用できるサービスは?

さて、パスワードなしでログイン/サインインできるのは非常に便利なのですが、現状、対応しているサービスがまだ少ないんですよねぇ・・・。

パスキーに対応しているサービスがないけど、どんなものか試してみたい!という方には、「passkey.io」や「webauthn.io」で検索するとお試しできるサイトが見つかります。

これらのサイトは、適当にユーザー名を決めて入力し、パスキーをご自身の機器に登録するだけです。登録したら、そのユーザー名でログイン/サインインを試します。パスワードレスの世界を簡単に体験でき、動作の検証にも利用できます。

セキュリティの問題は?

パスキーに使用されている技術は、FIDO Alliance[ファイドアライアンス]で策定されたFIDO2[ファイドツー]と呼ばれる

CTAP[シーティーエーピー](Client to Application Protocol)

と、W3C[ダブルスリーシー](The World Wide Web Consortium)で策定された

Web Authentication(WebAuthn[ウェブオースン])

の2つの仕様を組み合わせたものとなっております。

パスワードを使用することに比べて非常に強固なセキュリティを実現するパスキーですが、FIDO Allianceが公開しているCTAPの仕様書(FIDO2 SPECIFICATIONSCTAP 2.1 Proposed Standard with Errata)の15章にセキュリティに関する検討事項があり、FIDO Security Referenceを参照するように記載されています。

このFIDO Security Referenceを確認すると、パスキーだけでなくFIDOと呼ばれる仕組みを利用するにあたって気をつけなければならないことが理解できます。

ウェブサービスを利用するユーザーの立場からは、パスキーを使用するデバイス(ご自身のスマートフォンやPCなど)を、きちんと保護していく必要があると感じられます。

例えば、次のような事例が想定されます。
悪意のあるアプリケーションをインストールしてしまい、パスキーの情報にアクセスされてしまう。

悪意のある攻撃者が、ユーザーのデバイスに保管されているパスキーの情報を、悪意のある攻撃者のデバイスに同期/移行させようと細工してくる。

危険性のあるサイトに誘導されて、パスキーによるユーザー登録を実施してしまう。そのまま気付かずに危険性のあるサイトへ誘導されて利用していき、個人情報などを入力してしまう。
3番目の例は別にパスキーでなくても起きうる話なのでうが、パスキーを利用するとURLを意識しなくなるんじゃないかなぁ・・・と感じています(あくまでも、想定です)。フィッシングに対しては利用するサイトが異なることを確実にパスキーで判定できるのですが、新規に登録する、というスタイルには防ぐことができそうもありません。そして、パスワードレスという利便性のために、ついうっかり、という状況が起きるのではないかと危惧しています。

以上のように、パスキーはスマートフォンというデバイスを鍵にして利用できるため、悪意のあるアプリによるアカウントの侵害、ウェブサービスへ新規にユーザー登録するような場面などでリスクが存在するといえます。

おわりに

パスキーは、今後、サポートする企業やサービスが増えて身近なものになるでしょう。パスワードレス、という利便性は従来のログイン/サインインの苦労から解放してくれるため、様々なユーザーに簡単かつ安全なアカウント管理が実現できるようになります。セキュリティも意識して上手に活用していけると良いですね。

#パスキー#passkey#パスワードレス#パスワード#FIDO#FIDO2#セキュリティ
user
スガ〜
会社員 / 50代前半 / 男性
サービス数40万件のスキルマーケット、あなたにぴったりのサービスを探す