Passkey認証
FIDOアライアンスが推進するパスキー認証は、スマートフォンなどの生体認証情報(指紋、顔認証、虹彩認証など)を利用して、ウェブサイトの認証を行う方法です。
安全性:パスワードはなりすましのリスクがありますが、パスキー認証は生体情報に基づいており「より安全」です。
利便性:パスワードを覚える必要がなく、スマートフォンの生体認証機能で簡単にログインできます。
汎用性:スマートフォン以外のPCなどの様々なデバイスと連携して利用ができます。
クロスデバイス認証とは
クロスデバイス認証とは、スマートフォンのパスキー認証を利用して、認証機能を持たないPCなどの端末からターゲットのWebへ認証連携でアクセスさせる機能です。
  |
 |
 |
| パスキー認証 |
クロスデバイス認証 |
クロスデバイス認証 |
| ✅ |
✅ |
✅ |
Bluetooth利用時のクロスデバイス認証の手順
① PC端末のブラウザでパスキー認証のターゲットのWebサイトへ
② PC端末のブラウザにQRコードを表示
③ QRコードをスマートフォンでスキャン
④ スキャンしたQRコードをスマートフォンでパスキー認証
⑤ Bluetooth通信によりスマートフォンとPC間で認証連携
⑥ PC端末のブラウザでターゲットのWebサイトへログイン
同期パスキーとデバイスバウンドパスキー
FIDO2の拡張規格である 「Passkey 」認証 では、秘密鍵の保存に関して
① デバイス間で同期できる同期パスキー( Synced passkeys )
② デバイスに依存して保存・利用するデバイスバウンドパスキー( Device bound passkeys )
の2種類のパスキーをサポートしています。
主な相違
項目 |
1. 同期パスキー |
2.デバイスバウンドパスキー |
| 保存方法 |
クラウドサービスを利用 |
特定のデバイス内に保存 |
| 利用方法 |
複数のデバイスで利用可能 |
1つのデバイスのみ利用可能 |
| メリット |
紛失・故障時の復旧が容易 |
より高い安全性 |
| デメリット |
クラウドサービスが停止の場合
利用が出来ない |
複数のデバイスで利用できない |
パスキー対応ネットワーク構成
機器構成
Passkey認証のWebサーバー
クライアントの機器( スマートフォンやPC端末 )
ブラウザ( プラグイン不要 )
同期パスキーを利用の場合
iCloudキーチェーン
Googleパスワードマネージャー
などのプラットフォーマーが運用するクラウドサービスと連携
Passkey認証連携に対応のWebサイト構築
一般的なWebやWordPerss、RoundcubeでのWebサイトをパスキー認証での構築・運用に対応しています
 |
|
 |
|
 |
一般的なWebサイト
✅ |
|
WordPressのWebサイト
✅ |
|
roundcube
✅ |
Passky認証の構成パターン
同期パスキーの機器構成
パスキー認証 = ① Passkey認証端末 + ② ユーザー
クロスデバイス認証 = ① PC端末 + ②Passkey認証端末 + ③ ユーザー
デバイスバウンドパスキーの機器構成
パスキー認証 = ① PC端末 + ②USB認証器 + ③ ユーザー
USB認証器 例
より高度な運用
OTP認証の併用による対応
利用者がパスキー認証の端末でアクセスできない場合があります。
その場合には、ワンタイムパスワード認証に対応することで
より多くのユーザー端末をカバーリングします。
パスキー認証とワンタイムパスワード認証を併用時の構成
SSLクライアント認証の併用による利用端末の限定
同期パスキー(Synced Passkeys)では異なる端末間でパスキーの利用が可能なため、複数の端末からのアクセスを受ける可能性があります。
会社支給の端末からのみ当該Webへアクセス許可 させる場合には、SSLクライアント認証を併用することで対応します。
高いセキュリティが求められる金融機関、官公庁、医療機関などで有効な手法です。
- パスキー認証+SSLクライアント認証(利用端末の限定)
- OTP認証+SSLクライアント認証(利用端末の限定)
冗長化
HA構成での運用
