AppleのFIDOサインイン認証情報「パスキー」の仕組み Google、Microsoftと共同で推進する「パスワードを不要にする認証」（2/2 ページ）

[MACお宝鑑定団]

AirDropでアカウントを共有できる

　パスキーを保存する際に、新しいパスワードを考えたり、複雑な条件を満たそうとしたりする必要はない。それぞれのパスキーはシステムによって生成され、強度が保証されており、1つのアカウントにのみ使用される。

　パスワードの代わりとして重要なのが、2人以上でアカウントを共有できる機能だ。

パスキーの共有

　パスキーを誰かと共有するには、AirDropを使用する。

　自分とパートナーがShiny（犬）のアカウントも共有しており、こちらはすでにパスキーを使うようにアップグレードしているとする。

　パスキーの場合、クレデンシャルは私が入力できるものではありませんが、それでも信頼できる人たちと共有することは可能だ。

　パスキーはWebAuthenticationまたはWebAuthn標準をベースに構築されており、公開鍵暗号方式を使用する。

パスキーのUI

　入力可能な単語や文字列ではなく、一意の暗号キーペアがアカウントごとに生成される。

　パスキーによるサインインを行うには、サーバのバックエンドにWebAuthnを採用する必要がある。

　標準的なWebAuthnサーバの実装であれば、パスキーに対応することができる。

　Appleプラットフォームのアプリでは、パスキーはAuthenticationServicesフレームワークの「ASAuthorization API」ファミリーに含まれる。

　これは、パスワード、セキュリティキー、Sign in with Appleなど、あらゆる種類の認証情報を扱うためのAPIだ。

　また、AutoFillのサポートなど、使用できる新しいメソッドもいくつか追加され、このAPIをさらに柔軟にして、既存のサインインフローにシームレスに適合させることが可能になる。

　アプリでパスキーを使い始めるには、まずwebcredentialsサービスを使用して、関連するドメインを設定する必要がある。

　Webプラットフォームも、AutoFillアシストとモーダルパスキーの両方のリクエストをサポートしている。

パスキー

　Webでは、セキュリティ キーにも使用される標準のWebAuthn APIを介してパスキーが使用される。

　アプリと同様に、AutoFillアシストリクエストを採用すると、Touch IDだけですばやくサインインしたり、利用可能なすべてのパスキーとパスワードを取得したり、近くのデバイスからパスキーを使用したりすることができ、これらはすべて非常に短いコードで実現できる。

　鍵ペアの片方が公開鍵で、これはサーバ上に保管される。この公開鍵はシークレット（秘密）ではない。

パスキーの堅牢性

　もう片方が秘密鍵で、実際にサインインする際にはこれが必要だ。秘密鍵が何かサーバ側が知ることはない。Touch IDまたはFace IDに対応したApple製デバイスでは、Touch IDやFace IDでパスキーの利用を承認でき、それを受けて、Appや Webサイトに対してユーザーの本人確認が行われる。

　共有のシークレットが転送されることもなく、サーバが秘密鍵を保護する必要もない。このため、パスキーは非常に強力かつ使いやすい、フィッシング詐欺対策に秀でた資格情報になるのだ。