先日、ヌーラボでパスキーを導入しましたとニュースリリースをしましたが、「パスキー」を初めて聞くという方も多いかと思います。

このブログでは、パスキーについてなるべく簡単に説明したいと思います。

パスキーってなに？

「パスキー」は、パスワードの代わりになるものです。パスキーはパスワードよりもずっと安全で簡単に利用することができます。

パスキーを使うとヌーラボサービスにログインする時にパスワードの入力が不要になり、面倒で危険なパスワード入力をなくすことができます。

パスキーはFIDOという国際規格の認証技術です。

FIDOはフィッシングに強く、2段階認証のSMSや認証アプリよりも安全と言われています。

パスキーは簡単に使えるの？

あらかじめパスキーを登録しておけば、ログインの際にパスキーを使ってログインすることができます。

登録もログインもとても簡単です。

手順を見てみましょう。

パスキーを登録する手順

デモは MacBook で Google Chromeブラウザを使っています。

他のOS、ブラウザでも大体同じです。

パスキーでログインする手順

パスワードマネージャでパスキーを使うことができるので、操作に迷うことなく、簡単にログインできるかと思います。

パスキーは安全なの？

パスキーは安全です。パスキーの安全性をなるべく簡単に説明したいと思います。

パスキーはパスワードレス

パスキーは「パスワードの代わりになる」ものなので、パスキーでログインする場合はパスワードの入力は不要です。したがって、ネットワークからパスワードが盗み取られたり、リスト攻撃されるなどのリスクがありません。

パスキーは多要素認証

パスキーは登録したローカル端末の中に鍵（秘密鍵）を保持し、ヌーラボサーバー側には公開鍵を保存し、公開鍵方式の認証を行う仕組みになっています。

ローカル端末内のパスキーの秘密鍵にアクセスするために生体要素による認証を行い、ローカル端末の所持要素も確認する多要素認証です。

生体情報がサーバーに送られることはない

パスキーでは生体認証を行いますが、これはローカル端末の鍵（秘密鍵）にアクセスするためです。この秘密鍵を使って暗号化した認証結果をヌーラボサーバーに送ります。この認証結果には生体情報は含まれておらず、漏洩したら困るような秘密情報をネットワークに流しません。

パスキーはフィッシングに強い

パスキーの安全性の最大の特徴は、フィッシングに強い、ということです。

ユーザーを騙して偽のサイトに誘導し、サイトにログインすると見せかけてログインするための秘密情報を盗み出すことをフィッシング攻撃と呼びます。

パスキーで登録したローカル端末の鍵（秘密鍵）は正規のドメイン（例えば nulab.com）に紐づいて管理、サーバー側で検証する仕組みのため、ユーザーが偽サイト（例えば nalabo.com など）に騙されて誘導されたとしてもパスキーを利用することができない仕組みになっています。

パスキーの管理

パスキーは登録したローカル端末の中に鍵（秘密鍵）を保持し、サーバー側には公開鍵を保存します。この方式では、サーバー側から公開鍵が漏洩しても問題がありません。また、ローカル端末内の秘密鍵はデバイスやパスキープロバイダ（Apple、Google、Microsoftなど）の機能によって安全に管理されます。

さいごに

ヌーラボで導入したパスキーを簡単に説明しました。

パスキーを使うとパスワードが不要になります。2段階認証の面倒な手順が必要なく、安全です。

便利で安全なパスキーを是非使ってみてください。