Amazon says 175 million customer now use passkeys to log in
2024/10/15 BleepingComputer — Amazon が発表したのは、2023年にPasskeys を導入して以来、その利用者が大幅に増加し、2024年10月には 1億7500万人以上に達したことである。同社は、「Amazon アカウントで Passkeys を有効化した顧客が 1億7500万人を超え、従来よりも6倍も素早くログインしている状況を、とても嬉しく思う。パスワードが不要なサインインの利便性を、実感するユーザーが増えるにつれ、その利用者は日々増加している」とコメントしている。
Passkeys とは、生体認証や PIN と関連付けられ、スマフォ/コンピュータ/USB セキュリティ・キーなどの、デバイスに保存されるデジタル認証のことである。
この認証機能は、暗号鍵 (公開鍵と秘密鍵) を使用して、サービスへのログイン時に生体認証機能、あるいは、PIN と結びついた認証情報として機能する。
Passkeys を作成する際に秘密鍵が作成され、デバイスのセキュア・チップ内に安全に保存される。そして、認証を必要とするオンライン・サービスに対しては、公開鍵のみが送信される。
Source: BleepingComputer
続いて、ユーザーがログインを試みる際には、このオンライン・プラットフォームが、ユーザーのデバイスへ向けて暗号化されたチャレンジを送信する。
それがユーザーに促すのは、生体認証 (Face ID/Windows Hello/Fingerprint) または PIN による認証であり、それによりユーザーの秘密鍵が暗号化チャレンジに署名され、オンライン・サービスへと送り返される。
続いて、対象となるオンライン・サービスは、ユーザーの公開鍵を用いてチャレンジを検証し、成功すればユーザーをアカウントにログインさせる。
これらの暗号化チャレンジの有効期間は短く、また、ユーザーの秘密鍵は安全なチップに保存されているため、Passkeys は安全な認証方法であると考えられている。つまり、データ漏洩/フィッシング攻撃/マルウェアなどにより、通常の認証情報が窃取させる可能性から、切り離されることになる。
Passkeys を作成していない Amazon ユーザーの場合は、アカウント設定で容易に作成できる。Amazon における Passkeys 構想の成功により、 AWS や Audible など広範なサービスへの展開も進み始めている。
しかし、Passkeys はユーザーのデバイスにリンクされているため、ポータブルではない。つまり、デバイスやパスワード・マネージャー間で転送することはできないという問題を抱えている。それを解決するために、10月15日に FIDO アライアンスは、異なるプラットフォーム間やパスワード・マネージャー間で、Passkeys をポータブルにする新しい仕様を発表している。
Amazon における Passkeys の展開は、2023/10/17 に「Amazon が Passkeys をサポート開始:パスワードレス・ログインの選択肢として」という記事があるだけで、その後に情報がなかったので、今日の記事は嬉しいですね。残される課題として、文中でもポータビリティについて触れられていますが、同日である 10月15日に、「FIDO Alliance が提案する新仕様:Passkeys をプラットフォーム間で安全に移動可能に」という記事をポストしています。よろしければ、Passkeys で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.