Appleが、WWDC22において、FIDOサインインの認証情報「Meet passkeys」に関する解説を公開しています。

パスキーは、パスワードに代わるものとして設計され、世界パスワードの日に発表された「Apple、Google、Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明」に基づく技術となります。

macOS MontereyとiOS 15では、その解決策となるパスキーのデベロッパープレビューを発表し、macOS VenturaとiOS 16では、すべての人にパスキーが利用可能になります。

パスキーを使えば、パスワードよりも優れたユーザー体験を実現できるだけでなく、脆弱な認証情報や再利用される認証情報、認証情報の漏洩、フィッシングなど、セキュリティ問題の全カテゴリーを解決することが可能になります。

パスキーを作成するためのシステムシートが表示され、数回タップするだけで、私のデバイスは私のアカウント用にユニークで暗号的に強力なキーペアを生成し、それを私のiCloudキーチェーンに保存されます。

サインアウトして、先ほどと同じサインインフォームに戻り、同じようにユーザー名フィールドにフォーカスしてみます。

アカウント用のパスキーが保存されているので、それがQuickTypeバーに表示され、あとはこれをタップすれば、サインイン完了です。

パスキーを保存する際に、新しいパスワードを考えたり、複雑な条件を満たそうとしたりする必要はありません。それぞれのパスキーはシステムによって生成され、強度が保証されており、1つのアカウントにのみ使用されます。

パスワードの代わりとして重要なのが、2人以上でアカウントを共有できる機能です。

パスキーを誰かと共有するには、AirDropを使用します。

私とパートナーはShinyのアカウントも共有しており、こちらはすでにパスキーを使うようにアップグレードしています。

パスキーの場合、クレデンシャルは私が入力できるものではありませんが、それでも信頼できる人たちと共有することは可能です。

パスキー は WebAuthentication または WebAuthn 標準をベースに構築されており、公開鍵暗号方式を使用します。

入力可能な単語や文字列ではなく、一意の暗号キーペアがアカウントごとに生成されます。

パスキーによるサインインを行うには、サーバーのバックエンドに WebAuthn を採用する必要があります。

標準的な WebAuthn サーバーの実装であれば、パスキーに対応することができます。

Apple プラットフォームのアプリでは、パスキーは AuthenticationServices フレームワークの「ASAuthorization API」ファミリーに含まれます。

これは、パスワード、セキュリティ キー、Sign in with Apple など、あらゆる種類の認証情報を扱うための API です。

また、AutoFillのサポートなど、使用できる新しいメソッドもいくつか追加され、このAPIをさらに柔軟にして、既存のサインインフローにシームレスに適合させることができるようになりました。

アプリでパスキーを使い始めるには、まず、webcredentials サービスを使用して、関連するドメインを設定する必要があります。

Web プラットフォームも、AutoFill アシストとモーダルパスキーの両方のリクエストをサポートしています。

Web では、セキュリティ キーにも使用される標準の WebAuthn API を介してパスキーが使用されます。

アプリと同様に、AutoFill アシストリクエストを採用すると、Touch ID だけですばやくサインインしたり、利用可能なすべてのパスキーとパスワードを取得したり、近くのデバイスからパスキーを使用したりすることができ、これらはすべて非常に少ないコードで実現できます。

鍵ペアの片方が公開鍵で、これはサーバ上に保管されます。この公開鍵はシークレット (秘密) ではありません。

もう片方が秘密鍵で、実際にサインインする際にはこれが必要です。秘密鍵が何かサーバ側が知ることはありません。Touch ID または Face ID に対応した Apple 製デバイスでは、Touch ID や Face ID でパスキーの利用を承認でき、それを受けて、App や Web サイトに対してユーザの本人確認が行われます。

共有のシークレットが転送されることもなく、サーバが秘密鍵を保護する必要もありません。そうしたわけで、パスキーは非常に強力かつ使いやすい、フィッシング詐欺対策に秀でた資格情報になるのです。