　パスキーでは、ユーザー登録時や生体認証設定時に、ユーザーIDとURLがひも付いた形で“キー”に当たる、「マルチデバイス対応FIDO認証資格情報」（マルチデバイスFIDOクレデンシャル）を端末の安全な領域に保管する。実際のログイン時には、ユーザーIDを入力するか、表示される選択肢からIDを選ぶとFIDOクレデンシャルが要求されるので、生体認証でそれを取り出せばログインできる。

　パスワードを入力することもなく、そもそもパスワードが存在しないので漏えいすることもない。FIDOクレデンシャルはURLとユーザーIDにひも付いた形で保管されているので、見た目が似ていてもURLが異なる偽サイトだと生体認証が求められず、ログインはできないのでフィッシング攻撃にも強い。

パスキーは、各プラットフォーム内で同期される

　マルチデバイスFIDOクレデンシャル＝キーは、それぞれApple ID、Googleアカウント、Microsoftアカウントを使って複数の端末に同期される。この3つのアカウントが使われるのは、それぞれがOSのプラットフォーマーだからで、要はWindows、Android（Chrome OS）、mac OS／iOSというOS環境で同期できることを想定しており、プラットフォーマーであればセキュリティに十分配慮するはずだという判断のようだ。

パスキーは、OSなどのプラットフォーマーのクラウドを介してデバイス間で同期される（FIDOアライアンス資料より）

　例えば同じApple IDを登録していれば、パスキーを登録したiPhoneではもちろん、iPadでも改めて生体認証を登録しなくても、すぐに生体認証でログインできる。パスワードほどの自由度はないが、複数の端末でもログインできるというのは強みだ。

　端末に保管されたFIDOクレデンシャルは、AppleのiCloudキーチェーンを使って複数の端末に同期される。そのため、他のiPhone、iPad、Macでは、改めて生体認証の登録をせずに、最初から生体認証でログインできる。

　Androidの場合、前述のPasskeys.ioでは「Sign in with a passkey」の項目が表示されないため、登録したユーザーIDを入力する必要がある。それを除けばiOSと同様にパスキーによるサインインや同期は可能なようだ。Windowsの場合、パスキーは端末内に保存されてサインインもできるが同期には非対応（いずれも記事執筆時点）。

　実際のサイトで試すのであれば、日本だとヤフーのサイトが分かりやすい。Yahoo! JAPANのログインで生体認証によるログイン設定を行うと、パスキーとしてFIDOクレデンシャルが保管され、iCloudキーチェーンで同期される。ただしYahoo! JAPANの場合、Androidにおけるパスキーの同期には非対応になっている。