「パスキー」とは、今年後半にmacOS 13 Ventura、iOS 16、iPadOS 16で本格的に導入された、ウェブサイトへの簡素化されたログインプロセスの名称です。パスキーは、広くサポートされている業界標準に依存しており、初期設定後は、ほとんど手間をかけずに暗号化されたログインを実行できます。
AppleはiOS 15、iPadOS 15、macOS 12 Monterey搭載のSafari 15において、すべてのOSのSafariにプレビュー版としてパスキーサポートを組み込んだため、これらの次期OSのパブリックベータ版をインストールしなくてもパスキーを試すことができます。数週間または数ヶ月以内にパスキーが正式リリースされ、GoogleとMicrosoftも互換性のある技術のサポートを発表しているため、この秋には多くのウェブサイトでパスキーログインを追加するオプションが表示されるようになるでしょう。
プロセスは次のように機能します。
Apple ID
iOS 17およびmacOS 14 Sonoma以降、Apple IDはパスキー認証に対応します。ウェブサイトやicloud.comなど、Apple IDでサインインする必要がある場所では、2つのログイン方法があります。標準のパスワードを使用するか、「Appleで続ける」ボタンを押して表示されるQRコードをiPhoneのカメラでスキャンし、固有のコードを生成する方法です。
ウェブサイトで登録する
パスキーは、一般に公開鍵暗号と呼ばれる一対の暗号化鍵で構成されています。WebAuthn(パスキーの受け入れ、保存、および操作に必要な技術)をサポートするサーバーにアクセスすると、ブラウザは暗号化鍵ペアの公開鍵を提示します。公開鍵はログインには使用できませんが、本人確認に使用されます。つまり、デバイス上で作成され、ログイン時にデバイスから外部に漏洩することのない秘密鍵を所有していることになります。
登録するには、パスキーのサポートを提供しているウェブサイトにアクセスします。サイトによっては、パスキーを汎用的にサポートしていると謳っている場合や、WebAuthnをサポートしていると謳っている場合、あるいはFIDO2、CTAP、あるいは「マルチデバイスFIDO認証情報」に対応していると謳っている場合があります。これらの用語はすべて、Apple(またはGoogle、Microsoft)のパスキーをログイン認証情報として使用できることを意味します。(FIDO2は、パスキーとWebAuthnの実現に重要な役割を果たす業界団体FIDO Allianceによって名付けられた名称で、Apple、Microsoft、Googleが加盟しています。)
このプロセスは、2 要素認証 (2FA) のサイトに登録するときや、以前に Yubico 製などの WebAuthn 用のハードウェア キーを使用したことがある場合と非常によく似ています。
- 既存のユーザー名とパスワードを使用してログインします。
- サイトによっては追加の認証を求められる場合があります。これは、メールで送信されたリンク、テキストメッセージによるコード、あるいはコードやiPhoneまたはiPadに既にインストールされているアプリを使った2要素認証の承認を求めるプロンプトなどです。
- サイトのセキュリティ セクションでは、パスキーを使用するか、上記の代替名のいずれかを使用するかを選択できます。
- Web サーバーは、暗号化情報を提供するための要求をブラウザにプッシュします。
- 利用可能で有効になっているものに応じて、Touch ID、Face ID、またはデバイスのパスワードを使用してこのリクエストを承認するように求められます。
- 本人確認に成功すると、デバイスが公開鍵と秘密鍵のペアを生成します。秘密鍵はデバイスに保存され、リモートサイトに送信されることはありません。
- ブラウザは、提供された公開鍵を使用してサーバーが検証できる暗号化署名されたメッセージとともに公開鍵を送信します。検証可能なメッセージを生成できるのは、秘密鍵を保持しているデバイスの所有者だけです。
- Web サーバーは、将来のログインのために公開キーを保存します。
パスキーログインを設定すると、アカウントの2FAが無効になるか、2FAの代わりにパスキーログインを選択できるようになります。パスキーは、秘密情報とそれが保存されているデバイスの両方を所有していることの証明となり、実質的に2要素認証となります。(セキュリティレベルの高いサイトやサービスでは、パスキーの代わりに、またはパスキーに加えて2FAが必要となる場合があります。)
認証サービスプロバイダーであるAuth0が運営するWebauthn.meでは、パスキー処理の仕組みの一部が公開されており、その仕組みを見ることができます。現在、一部の本番サイトではパスキーに対応したログイン機能を提供していますが、現時点ではまだごく少数です。GoogleアカウントやDropboxアカウントを「セキュリティキー」に設定し、代わりにパスキーを使用するという方法もあります。私の経験については、以下をご覧ください。
パスキーでログイン
登録したサイトでは、次回ログインするときに保存したパスキーを使用できます。多くの Web サイトがユーザー名またはアカウントのメール アドレスの送信とパスワードの送信を分離し始めていることに気付いたかもしれません。これはパスキーの準備のようです。
サイトがパスキー入力に対応していれば、ユーザー名またはアカウントのメールアドレスのフィールドをタップまたはクリックすると、Safari がパスキーログインの検証を求めます。場合によっては、Safari が最初にそのサイトで Touch ID または「セキュリティキー」ログインを許可するかどうかを尋ねることがあります。「許可」をクリックして続行してください。その後は、登録時と同様に、Touch ID、Face ID、またはデバイスのパスワードで認証できます。これで完了です!上記の Webauthn.me サイトを使用して、手順 4 でこれをテストできます。
WebAuthn をサポートしていても、簡素化されたパスキー プロセスにまだ完全に対応していない一部のサイトでは、サイトがブラウザにパスキーを要求するシーケンスを開始する前に、通常のユーザー名とパスワードによるログインを実行するように求められる場合があります 。
macOS版Safariで「セキュリティキー」オプションを選択し、画面の指示に従うことで、Dropboxにパスキーを使って登録できました。(Safari経由でDropboxにログインした状態で、右上隅のアバターをクリックし、「セキュリティ」リンクをクリックして、 「セキュリティキー」の横にある「追加」をクリックします。キーを挿入したかどうかを尋ねられたら、挿入されていることを確認してください。)
macOS版Safariではその後のログインは機能しましたが、iOS版Safariでは機能しませんでした。これは、新しいOSのリリース前はiCloudキーチェーンの同期がサポートされていなかったためと考えられます。iOS 16、iPadOS 15、VenturaではiCloudキーチェーンが有効になっているため、パスキーが同期され、iOS/iPadOSでは「設定」 > 「パスワード」 、Venturaでは「システム設定」 > 「パスワード」に表示されます。
Appleは、AirDrop経由で安全にパスキーを送信することで、他のAppleユーザーとパスキーを共有できるようにしました。これにより、公開鍵と秘密鍵の両方が共有され、自分のアカウントのユーザー名、パスワード、2要素認証トークンを渡した場合と同等のアカウントアクセス権限が相手に付与されます。
他のデバイスからログイン
一部のサイトでは、アクセスするための唯一の方法としてパスキーログインを指定できます。では、共有または家族のパソコン、職場のデバイス、旅行中にアクセスできるデバイスなど、パスキーが保存されていないデバイスからログインしようとしている場合はどうすればよいでしょうか?あるいは、プラットフォーム固有の機能のために、WindowsシステムやAndroidスマートフォンを使用してサイトにアクセスする必要がある場合はどうでしょうか?Appleは2022年の世界開発者会議(WDC)でパスキーを導入し、QRコードとBluetoothを必要とする巧妙なアプローチを実演しました。
プロセスは次のように機能します。
- WebAuthn ログインをサポートするのに十分な新しいオペレーティング システムまたはブラウザーを搭載したデバイスで、パスキーを使用する Web サイトでアカウント名を入力するとき。
- サイトはブラウザにパスキーを問い合わせますが、ブラウザはパスキーがないことを検知します。その後、「新しい電話を追加」などをクリックして、プロキシ経由でパスキーを入力することができます。
- サイトはブラウザに QR コードを表示させるクエリを送信します。
- iPhone または iPad で QR コードをスキャンし、「パスキーでサインイン」というプロンプトをタップします。
- デバイスで「続行」をクリックし、 Touch ID、Face ID、またはデバイスのパスワードを使用してログインを承認します。
- ブラウザにログインしたことが表示されます。
りんご
このプロセスでは、QRコードが表示されているデバイスとiPhoneまたはiPadがBluetooth経由で静かに接続し、鍵情報を交換します。これにより、デバイスはログインが近くにある機器を使用して行われていることを確信できるため、リモート攻撃を防止できます。また、Bluetoothバックチャネルはブラウザ接続とは別の暗号化されたチャネルであるため、偽のログイン情報を提示するフィッシング攻撃を回避できます。
別のデバイスでログイン認証が完了すると、セッションは通常通り続行されます。完了したら必ずログアウトして状態をクリアしてください。
未来はパスキー
パスキーのシンプルさは、その高度な機能を隠しています。容易さ、プロセス管理の手間のなさ、そして最高レベルのセキュリティを、初めて実現しました。ログイン情報はそれぞれ固有で、ユーザーごとに保存され、デバイスとサイトの両方向で認証されるため、デバイスにアクセスできるユーザーだけがサイトにログインできます。
パスワードに関するヘルプについては、パスワード マネージャーのグループ テストと、パスワードをさらに強化するためのヒントをお読みください。
