書籍『パスキーのすすめ』でパスワードレスな認証の世界に飛び込んでみよう #技術書典
数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。 そうこうしているうちに、最近では「パスキー」という新しいパスワードレス技術に関する言葉をよく目にするようになりました。
パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。
- FIDOとWebAuthnとパスキーは何が違うの?
- もっとセキュアになったの?
- サイトによってUXが違うんだけど?
このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された『パスキーのすすめ』です。
著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つritouさんです。
これ以上の組み合わせはないでしょう。
本書の概要
「まずは使ってみよう」という言葉が表紙に記されているとおり、本書ではパスキーの技術詳細よりも実務に焦点を当てています。
FIDO アライアンスのサイトには、FAQの冒頭でパスキーが定義されています。
What is passkey?
Any passwordless FIDO credential is a passkey.
本書においても、1章の1ページ目(P.6)のほぼ冒頭でパスキーを次のように定義しています。
元来の FIDO 認証ではデバイスごとに所持していた秘密鍵を、パスワードマネージャーで共有できるようにしたのがパスキーといえます。
わかりやすいですね。
第1章「パスキーとは」でパスキーの技術要素を学び、第2章「パスキーを使ってみよう」でパスキーがどのようにサイト導入されているかを学び、第3章「利用デバイスに関する疑問」と第4章「安全性に関する疑問」でパスキーの運用上の課題・疑問点を整理します。
第1章:パスキーとは
第1章「パスキーとは」では、パスキーの技術要素について学びます。
パスワード認証の問題点を解決するために考案されたパスワードマネージャーとパスワードレスなFIDO認証。これらはそれぞれに欠点がありましたが、その両者が融合し、お互いの欠点を補完するのがパスキーです。
第2章:パスキーを使ってみよう
Google、GitHub、アマゾンなど大手のサイトでもパスキーの導入が進んでいます。
第2章「パスキーを使ってみよう」では、実際にパスキー認証を試します。
GitHubのように一回のパスキー認証でログインが完了するサイトもある一方で、アマゾンのようにパスキーはパスワードの代わりとなるだけで、二段階認証の必要があるサイトもあります。
パスキー認証が単独で2要素認証を兼ねており、 パスキーのピクトグラムも人と鍵で2要素を示唆しているにも関わらずです。
少しモヤってしまいますね。
任天堂のパスキー認証はユーザー体験が優れていると好評です。
第3章:利用デバイスに関する疑問
P.6のパスキーの定義を思い出しましょう。
元来の FIDO 認証ではデバイスごとに所持していた秘密鍵を、パスワードマネージャーで共有できるようにしたのがパスキーといえます。
第3章「利用デバイスに関する疑問」では、デバイス間でパスキーを同期する際に直面する問題点について学びます。
- iCloudキーチェーンのようなプラットフォームに閉じた同期
- 1Passwordのようなプラットフォーム・デバイス横断型の同期
- 共有PC利用時にパスキー利用可能な手元のデバイスで認証するHybrid transport
などが取り上げられます。
これらのユーザー体験は、パスキーがどの程度受け入れられるかに大きく影響します。
一部のブラウザやデバイスではまだパスキー対応が不完全なため、現在は従来のパスワード方式とパスキーが混在する過渡期にあります。パスキーのユースケースやフローが増えるにつれて、この章は更新されていくものと思われます(と期待)。
第4章:安全性に関する疑問
新しい認証方式には不安が伴うものです。
- パスキーの同期に問題はないのか?
- どこまで情報が同期されるのか?
- TPM(Trusted Platform Module)がどのような役割を果たしているのか?
など、パスキー認証導入時には必ず聞かれるであろう質問には、即答できるようにしておきましょう。
まとめ
次世代のパスワードレス技術の入門書として、Auth屋さんによる『パスキーのすすめ』をご紹介しました。
現時点でパスキーはブラウザ等の制約があるものの、今後は急速に普及が進むと予想されます。
ユーザー観点ではパスキーは雰囲気で使えてしまいますが、今後のサービス導入に向けて、パスキーの目指す世界、技術、課題について理解を深める上で、本書はおすすめの一冊です。
ただし、本書は入門書のため、気になった詳細については公式のリファレンス、既刊の書籍、ritouさんのブログなどを参照すると良いでしょう。
本書を読んで勉強会を主催し、パスキーを布教しましょう。
それでは。