パスキーは、標準化団体 FIDO Alliance と World Wide Web Consortium(W3C)が共同で企画した、オープンスタンダードのパスワードレス認証方法です。
パスワードレス認証は、従来のパスワードによる認証の脆弱性やデメリットを解決する手段として注目が高まっています。
従来のパスワードを用いたログインでは、IDとパスワードの両方を入力し、入力されたものが正しいかどうかをシステム側で確認して認証される仕組みです。
この方式では、パスワードが解析されないように長く複雑なパスワードを利用したり、定期的に変更を促されることも多くありました。結果として、そのようなパスワードは、覚えられなかったり、ID / パスワード使い回しにより不正アクセスにつながるなどのデメリットとなっています。また、フィッシングサイトへ誘導して、ID / パスワードが詐取される被害も多数報告されています。
このような背景から、近年、パスワードレス認証へのニーズが高まり、多くの有力企業で採用されたのが、パスキーです。
パスキーは、公開鍵暗号方式のパスワードレス認証の仕組みを使って、複数デバイスでも同じようにログインができるようにするものです。
まず、認証では最初のログイン時にアカウント、サイトに紐付いたユニークな公開鍵を生成してサーバー側に登録し、スマートフォンなどの端末側には対となる秘密鍵を保管します。以降のログイン時は、秘密鍵で暗号化された資格情報を取り出し、サーバーから送信されるデータに署名をして応答します。そして、サーバー側がペアの公開鍵で署名を検証してログインを許可する仕組みになります。パスキーは作成した秘密鍵を各社のクラウドで保管することで、各デバイスでのログイン時に使えるようにすることで、複数のデバイスでのログインでも利用できるようになります。
Google や Apple、マイクロソフトによるパスキーサポートが発表され、ドコモ、au、メルカリ、マネーフォワードなど国内企業でも利用可能となっているように、パスキーは、国内外で今後さらに利用の拡大が期待されています。