▣ パスキーのバリエーションについて
パスキーの仕組みは、基本編で説明した通り、基本的には公開鍵と秘密鍵を用いた公開鍵暗号方式の鍵ペアを用いています。実はパスキーの仕組みにはバリエーションがあって、ニーズや目的に合わせた2種の「デバイスバウンドパスキー」と「同期パスキー」があります。
いずれもデバイス固有の秘密鍵(ルート鍵)を安全な装置に保管し、外部に露出することはありませんが、「同期パスキー」の場合、アプリケーションレベルでサービス毎に鍵ペアを生成します。生成された鍵ペアの公開鍵は、サービスベンダーに配布・登録し、片方の秘密鍵は複数のデバイスで共有・同期する方式となっています。
パスキーの仕組みを正しく理解するには、この「デバイスバウンドパスキー」と「同期パスキー」の違いについて、理解を深めることが必要です。
▣ 2+1種類のパスキー
- デバイスバウンドパスキー
- 特定のデバイスにのみ保存されるパスキーです。このパスキーはデバイス内に留まり、他のデバイスと共有されることはありません。そのため、非常に高いセキュリティを提供しますが、新しいデバイスで使用するためには再登録が必要です。
- 同期パスキー
- クラウドサービス(例えばiCloudやGoogleキーチェーン)を利用して複数のデバイス間で同期されるパスキーです。これにより、ユーザーは一度パスキーを設定すれば、複数のデバイスで簡単にログインが可能になります。利便性が高い反面、クラウドサービスのセキュリティに依存する側面があります。
- 同期パスキーの安全性については、TPMと公開鍵暗号方式の組み合わせにより、堅牢なシステム構成で厳格に保護されています。少々複雑で難解なシステム構成ですが、同期パスキーの仕組みを理解することはとても重要です。
- クロスデバイス認証
- 近くあるデバイスを使って、代理で認証するシステムです。パスキーの鍵を所有していないパソコンであっても、パスキーを所有するiPhoneなのどのスマートフォンを使うことで、認証できるシステムです。