セキュリティ

異なるシステム間でパスキーを安全に転送できる「Credential Exchange Protocol」の草案と開発者向けリソースサイト「Passkey Central」が公開される


パスワードの代わりに使用できるログイン手段「パスキー」を異なるシステム間で安全に転送できるようにするべく、認証技術標準化団体のFIDO Allianceが新しい仕様の草案を作成しました。仕様が実現されると、異なるシステム間で認証情報を移す際の標準フォーマットが定義されることになります。

FIDO Alliance Publishes New Specifications to Promote User Choice and Enhanced UX for Passkeys - FIDO Alliance
https://fidoalliance.org/fido-alliance-publishes-new-specifications-to-promote-user-choice-and-enhanced-ux-for-passkeys/

The FIDO Alliance Launches Comprehensive Web Resource to Accelerate Passkey Adoption - FIDO Alliance
https://fidoalliance.org/fido-alliance-launches-comprehensive-web-resource-to-accelerate-passkey-adoption/

FIDO Allianceによると、これまで認証情報を安全に転送するための標準はなく、多くの場合、パスワードまたは他の認証情報は安全でない方法で転送されていたとのこと。


この状況を改善すべくFIDO Allianceが提出した草案には、パスワードやパスキーなどを取り扱うパスワード管理システム同士で認証情報を転送する際に、安全な転送フォーマットを使う方法等について定めた仕様「Credential Exchange Protocol」が記載されています。

この仕様が標準化されるとオープンになり、認証情報を取り扱う各プロバイダが実装できるようになります。実装に至ると、これまで平文でパスキーをインポート・エクスポートしていたような処理がより安全になり、適切な保護の下で転送できるようになります。

FIDO Allianceに協力しているパスワード管理アプリの1Passwordは、新しい仕様に基づいてパスキーをインポート・エクスポートするオプションを開発することを発表しています。

FIDO Allianceが公開する草案について、記事作成時点ではフィードバックが受け付けられており、コミュニティの意見を元に実装を進めていくとのことです。


同時に、パスキーを実装する理由と方法について詳しく学ぶことができるウェブサイト「Passkey Central」も公開されており、開発者や、会社にパスキーを導入したいと考えるビジネスマン向けに、パスキーを実装・紹介するためのリソースが提供されています。

FIDO Allianceは「現在、120億以上のオンラインアカウントがパスキーでアクセス可能な状態にあります。パスキーによるサインインは、フィッシング被害を減らし、認証技術標準化団体の再利用をなくすと同時に、サインインを最大75%高速化し、パスワードだけのサインイン方法や、パスワードとSMSワンタイムパスワードを組み合わせた方法より、成功率を20%高めます。ユーザーが好みの認証情報管理システムを選択し、安全かつ負担なく切り替えられるようにすることこそ重要なのです」と述べました。

この記事のタイトルとURLをコピーする

・関連記事
Googleアカウントで「パスキー」認証がデフォルトに、パスワードレスがさらに加速 - GIGAZINE

パスワードを過去のものにするAppleの「Passkeys」とは? - GIGAZINE

AndroidとChromeで指紋や顔認証でウェブサービスにパスワードなしで安全にログインできる認証システム「パスキー」のサポートが開始 - GIGAZINE

「パスワード認証なし」の世界に向けて足りなかったピースをFIDOアライアンスが発見 - GIGAZINE

in セキュリティ, Posted by log1p_kr

You can read the machine translated English article here.