セキュリティ

AndroidとChromeで指紋や顔認証でウェブサービスにパスワードなしで安全にログインできる認証システム「パスキー」のサポートが開始


Googleが2022年10月12日、パスワードの代わりに指紋認証や顔認証を利用してウェブサービスにログインする認証システム「パスキー」を、AndroidおよびChromeでサポートすることを発表しました。ユーザーはパスワードなしの認証システムを使うことにより、ハッキングやサーバー情報漏えいといった問題から保護されるとのことです。

Android Developers Blog: Bringing passkeys to Android & Chrome
https://android-developers.googleblog.com/2022/10/bringing-passkeys-to-android-and-chrome.html

Google Online Security Blog: Security of Passkeys in the Google Password Manager
https://security.googleblog.com/2022/10/SecurityofPasskeysintheGooglePasswordManager.html

Google starts rolling out passkey support for Android and Chrome
https://9to5google.com/2022/10/12/android-chrome-passkey-support/

Google begins adding passkey support in Android and Chrome | Engadget
https://www.engadget.com/google-passkey-support-android-chrome-164017230.html

パスキーは、生体認証の標準化を目指す業界団体のFIDOアライアンスとウェブ技術の標準化団体であるWorld Wide Web Consortium(W3C)が手がけるサインイン標準規格で、正式名称は「マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル)」です。

パスキーではパスワードを入力してのログインではなく、指紋認証や顔認証といった本人のみが持っている要素を使用する生体認証を行います。パスワードはフィッシング攻撃やサーバー侵害などの被害で流出し、悪意のある人物によって悪用される危険性がありますが、生体認証はこうしたハッキングの影響を受けません。


2022年5月には、Apple・Google・Microsoftがパスキーの利用拡大に合意しており、Appleは9月13日にリリースしたiOS 16でパスキーのサポートを開始しています。

Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意 - GIGAZINE


そして10月12日、GoogleはAndroidおよびChromeでパスキーのサポートを開始し、開発者がテストできるようになったことを発表しました。GoogleのソフトウェアエンジニアであるArnar Birgisson氏は、公式セキュリティブログの中で「パスキーは、パスワードに代わるより安全でセキュアな認証方法です。また、テキストメッセージやアプリベースのワンタイムコード、プッシュ型承認といった従来の2要素認証の代替となります」と述べています。

ユーザーがパスキーを作成するには、まずウェブサービスのアカウントIDやパスワードを確認し、プロンプトが表示されたら指紋や顔、またはスクリーンロックの解除コードを登録します。


ウェブサービスにサインインする際は使用するアカウントを選択して、プロンプトが表示されたら指紋や顔、スクリーンロックの解除コードで認証するだけでOK。難しい設定などは必要なく、既存のパスワードマネージャーのように使うことができます。パスキーはスマートフォンなどのデバイスのみに存在する暗号化秘密鍵を使用し、ログイン時はウェブサービス側が格納する公開鍵で署名を検証するとのことです。


パスキーはGoogleパスワードマネージャーでバックアップおよび同期が管理されるため、同じGoogleアカウントを使用する複数のAndroidデバイスでパスキーを共有することが可能です。これは単にデバイスの複数所有や乗り換えに便利なだけでなく、デバイスを紛失した際のアクセス回復にも使用されるとのこと。

また、パスキーは業界全体のイニシアチブであるため、Androidデバイスで登録したパスキーをMacやWindows PCなど別のデバイスでログインする際に使うこともできます。同様に、iOSデバイスに保存されているパスキーを使用して、Chromeからウェブサービスにログインすることも可能です。このプロセスにはQRコードのスキャンが必要になる場合があります。


開発者はGoogle Playサービスのベータ版をダウンロードして、アプリにパスキーを実装するためのテストを実施できるとのこと。また、2022年中には安定したチャネルでパスキーのサポートを展開し、ネイティブのAndroidアプリ用APIもリリースする予定だとのことです。

この記事のタイトルとURLをコピーする

・関連記事
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意 - GIGAZINE

Appleがパスワード不要でFace IDやTouch IDだけでウェブサービスにログインできる「パスキー」機能を開発中 - GIGAZINE

パスワードを過去のものにするAppleの「Passkeys」とは? - GIGAZINE

「パスワード認証なし」の世界に向けて足りなかったピースをFIDOアライアンスが発見 - GIGAZINE

「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは? - GIGAZINE

パスワード認証に取って代わる2段階認証とその未来とは? - GIGAZINE

・関連コンテンツ

in ネットサービス,   ハードウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article Support for authentication system 'p….