パスキーを保存する際に、新しいパスワードを考えたり、複雑な条件を満たそうとしたりする必要はない。それぞれのパスキーはシステムによって生成され、強度が保証されており、1つのアカウントにのみ使用される。
パスワードの代わりとして重要なのが、2人以上でアカウントを共有できる機能だ。
パスキーを誰かと共有するには、AirDropを使用する。
自分とパートナーがShiny(犬)のアカウントも共有しており、こちらはすでにパスキーを使うようにアップグレードしているとする。
パスキーの場合、クレデンシャルは私が入力できるものではありませんが、それでも信頼できる人たちと共有することは可能だ。
パスキーはWebAuthenticationまたはWebAuthn標準をベースに構築されており、公開鍵暗号方式を使用する。
入力可能な単語や文字列ではなく、一意の暗号キーペアがアカウントごとに生成される。
パスキーによるサインインを行うには、サーバのバックエンドにWebAuthnを採用する必要がある。
標準的なWebAuthnサーバの実装であれば、パスキーに対応することができる。
Appleプラットフォームのアプリでは、パスキーはAuthenticationServicesフレームワークの「ASAuthorization API」ファミリーに含まれる。
これは、パスワード、セキュリティキー、Sign in with Appleなど、あらゆる種類の認証情報を扱うためのAPIだ。
また、AutoFillのサポートなど、使用できる新しいメソッドもいくつか追加され、このAPIをさらに柔軟にして、既存のサインインフローにシームレスに適合させることが可能になる。
アプリでパスキーを使い始めるには、まずwebcredentialsサービスを使用して、関連するドメインを設定する必要がある。
Webプラットフォームも、AutoFillアシストとモーダルパスキーの両方のリクエストをサポートしている。
Webでは、セキュリティ キーにも使用される標準のWebAuthn APIを介してパスキーが使用される。
アプリと同様に、AutoFillアシストリクエストを採用すると、Touch IDだけですばやくサインインしたり、利用可能なすべてのパスキーとパスワードを取得したり、近くのデバイスからパスキーを使用したりすることができ、これらはすべて非常に短いコードで実現できる。
鍵ペアの片方が公開鍵で、これはサーバ上に保管される。この公開鍵はシークレット(秘密)ではない。
もう片方が秘密鍵で、実際にサインインする際にはこれが必要だ。秘密鍵が何かサーバ側が知ることはない。Touch IDまたはFace IDに対応したApple製デバイスでは、Touch IDやFace IDでパスキーの利用を承認でき、それを受けて、Appや Webサイトに対してユーザーの本人確認が行われる。
共有のシークレットが転送されることもなく、サーバが秘密鍵を保護する必要もない。このため、パスキーは非常に強力かつ使いやすい、フィッシング詐欺対策に秀でた資格情報になるのだ。
Copyright (C) 1998 Mac Treasure Tracing Club. All rights reserved.
Special
PR