Google が展開する Passkey:Android/Chrome でパスワードレス認証をサポート

Google Rolling Out Passkey Passwordless Login Support to Android and Chrome

2022/10/12 TheHackerNews — 水曜日に Google は、次世代認証規格である Passkeys のサポートを、Android と Chrome に対して正式に展開した。Google は、「Passkeys は、フィッシングに狙われやすいパスワードなどの認証要素に代わる、より安全性の高い認証手段である。再利用できず、サーバーの侵入で漏れることもなく、フィッシング攻撃からユーザーを保護する」と述べている。この機能は、共通のパスワードレス・サインイン規格をサポートするための、広範なプッシュ規格の一部として、2022年5月に発表されたものだ。

FIDO アライアンスが設立し、Apple と Microsoft も支援する Passkeys は、デバイス上にローカル保存される固有のデジタルキーへと、標準的なパスワードを置き換えることを目的としている。


そのため、Passkeys の作成においては、エンドユーザーがオンライン・サービスにログインする際に使用するアカウントを確認し、その後に、生体情報またはデバイス・パスコードを使用する必要が生じる。

モバイル・デバイスで Web サイトにサインインする場合も、アカウントを選択し、指紋/顔/スクリーンロックを提示するという、シンプルな2ステップで完了する。

Passkey Passwordless Login



Passkeys の基本原理は、公開鍵暗号方式と呼ばれるメカニズムであり、秘密鍵はユーザーのデバイスに保存され、公開鍵はオンライン・サービスに保存される。したがって、Passkeys をサポートするプラットフォームでは、ログイン時に公開鍵を用いて、秘密鍵からの署名を検証し、ユーザーの真正性を確認する。オンライン・サービスのユーザー・アカウントごとに生成された Passkeys 秘密鍵も、ハードウェアで保護された暗号化キーを用いて、ユーザーのデバイス上で暗号化される。

Passkeys の最も魅力的な利点は、Passkeys がブラウザやオペレーティング・システムに依存しないことである。つまり、Android ユーザーは iOS/macOS の Safari や、Windows の Chrome ブラウザを使用して、Passkeys 対応の Web サイトにログインできる。

Google は、生成された Passkeys が安全に保存され、ロックアウトを防ぐためにパスワード・マネージャ経由でクラウドに同期されることを指摘し、開発者が WebAuthn API を使用してサイト上で Passkeys サポートを統合できると付け加えている。

Google のソフトウェア・エンジニアである Arnar Birgisson は、「Passkeys がバックアップされると、その秘密鍵は、ユーザー自身のデバイスでのみアクセス可能な暗号鍵を用いて、暗号化された形でアップロードされる。つまり、Google に対して、または、Google 内部の悪意の攻撃者などに対して、Passkeys は保護される。秘密鍵にアクセスできない攻撃者は、対応するオンライン・アカウントにサインインするために Passkeys を使用できない」と述べている。

さらに Google は 2022年に、ネイティブ Android アプリのための API のリリースを目指しており、Passkeys もしくは保存されたパスワードを、ユーザーに選択させるための標準的な方法を提供すると述べている。

FIDO (Fast Identity Online) 依存の Passkeys が実用されると、それぞれのデバイスにおけるセキュリティが強化されます。とても待ち遠しいテクノロジーが、実用化へ向けて動き始めました。8月9日の「Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?」でも、FIDO2 の有効性が実証されています。早く、Passkeys が広まると良いですね。

%d bloggers like this: