【ブックレビュー】パスキーのすべて
皆さん、パスキーを使っていますか? このブログでもたびたび話題に上げているパスキー。僕もGitHubの認証やAmazonのログインにパスキーを利用しています。 パスキーは一般的な人たち向けのサービスにも普及しています。例えばニンテンドーアカウントもパスキーに対応しています。ドコモのdアカウントもログイン後の重要な契約ではパスキーが必須となり、ドコモのセキュリティに対する高い意識を感じます。 パスキーの普及は近年のセキュリティに対するニーズであることはもちろん、そもそもパスキーは”楽ちん”であり、楽ならば普及しない理由はありません。僕はパスキーの存在を知った当時から「必ずこの技術は普及する」と確信し、このブログでも幾度となく(初出は2023年1月)から紹介しているパスキーですが、今年ついにパスキーについて深く語る本が出版されましたので紹介しようと思います。 古代より「合言葉」として使われていたパスワードですが、弱点も多く存在しました。なによりパスワードを利用する「人」が”123456”とか”password”等の弱いパスワードを使っていたり、同じパスワードを使いまわしたり、騙されてパスワードを攻撃者に漏らしてしまったりと、自らセキュリティ事故を起こしてしまうのです。時折「パスワードの定期的な変更はやらなくてよい」というセキュリティ対策の変遷が話題になりますが、これは 「パスワードの定期的な変更は(結局覚えやすいパスワードを使い回ししてしまうためセキュリティが却って弱くなり)やらなくてよい」 という意味で、つまりは人間が惰弱なゆえの対策の変遷なのです。 今や「ID+パスワードでは安全でもなんでもない」といわれる時代。多要素認証は当たり前となりました。しかし多要素認証にも(ID+パスワードと比べれば圧倒的に強固ですが)欠点はあります。 それならば「パスワードを辞めてしまおう!」というパスワードレスという考えが生まれました。しかしこのパスワードレスも、プライバシーや可用性という点で問題がありました。 これらの問題を一挙解決する優れた技術がパスキーです。しかしパスキーの技術について曖昧な場所も多く、今一度学び直したい、と思った矢先のこの本の出版、渡りに船です。 パスキーの技術の根幹は、セキュリティの分野では多用されている公開鍵暗号方式を利用しています。Webサイトへアクセスするための秘密鍵を認証器に格納し、公開鍵をWebサイト側のサーバに保管します。余談ですが公開鍵暗号方式を考えた人はノーベル賞ものですよね。実際「ディフィー・ヘルマン鍵交換」で名前を残したお二人はコンピュータ界のノーベル賞といわれるチューリング賞を受賞されています。 コンピューティング分野のノーベル賞ことチューリング賞、公開鍵暗号の研究者に与えられる パスキーは、秘密鍵とそれに対応するWebサイトのドメイン名などを含むメタデータがセットになったもので、スマートフォンのような個人だけが持つデバイスで作成されるものです。鍵を作るデバイス(物理的なデバイスとは限らない)を認証器と呼びます。この認証器は「本人が所有している」ことに加え、スクリーンのロックを解除できるということはそれ自体も認証行為になることから2段階認証を実現します。つまりフィッシング詐欺(遠隔からの不正ログイン)にとても強いことが特徴です。 パスキー自体も有用な技術ですが、これだけですと欠点があります。スマフォが壊れてしまったら、中にある秘密鍵が使えなくなり、すべての認証が通らなくなってしまいます。この弱点を克服するために、Googleパスワードマネージャなどのパスキープロバイダは、複数のウェブサイトやサービスで利用するパスキーを一元的に管理・保存する役割を担います。ただし、これはデバイスに直接保管されている秘密鍵のバックアップや同期を目的としたものであり、認証の主要な処理はデバイス上で行われます。そのうえでWebブラウザやネイティブアプリ上でAPIを利用して認証を実現します。パスキーの普及にはこのパスキープロバイダーの存在が欠かせません。 自分はこの本を読むまでパスキー=生体認証、だと思っていましたが、生体認証はパスキーを実現する技術の中の1つに過ぎませんでした。大きく分けて「デバイス認証」と「ローカルユーザ認証」があり、...
2025, Jun 28 —