Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意

Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。

Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance
https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

Apple, Google, and Microsoft want to kill the password with “Passkey” standard | Ars Technica
https://arstechnica.com/gadgets/2022/05/apple-google-and-microsoft-want-bluetooth-proximity-to-replace-the-password/

Apple・Google・Microsoftの3社が新たに利用拡大に合意した「パスキー」は、正式には「マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル)」と呼ばれる認証規格。パスキーはいわゆる多要素認証(二要素認証とも)で導入されている「スマートフォン側で指紋／顔認証やPINの入力、SMS経由で送信されるワンタイムパスコードの入力」といったタイプの認証システムを指します。

パスキー利用時の流れを説明するFIDO Allianceの画像が以下。ウェブサイトやアプリでサインインが求められた際、スマートフォン側に認証を促すポップアップが出現します。

ユーザーがスマートフォン側で指紋認証などを行うと、サインイン完了。多要素認証を使ったサインインからIDとパスワードの入力を省いたような手順です。

2022年3月にFIDO Allianceが公開した(PDFファイル)ホワイトペーパーによると、パスキーはBluetoothを使って、サインインを求めているデバイスと認証を行うデバイスの2つが物理的に近しい距離に存在することを確認するとのこと。通信自体も公開鍵暗号方式による暗号化が施されていることから、パスワードの使い回しやフィッシングなどの詐欺によって盗み出されやすいといった問題を抱える旧来の方式よりもセキュリティ的に強固になるとのこと。

パスキーに用いる認証情報はAppleやGoogleなどのプラットフォーム側がクラウドバックアップを行い、デバイス間の同期やデバイス紛失時のアカウント回復に対応する予定。今回の発表では、AppleのiOS・macOS・SafariやGoogleのAndroid OS・Chrome、MicrosoftのWindows・Edgeなどで2023年中にパスキー認証が始まる見通しです。しかし、すでにiOS 15やmacOS Monterey、Google Playのバージョン22.15でパスキーが内部的に実装されていることから、2023年より早い時期から順次展開が始まるとみられています。