現代のデジタル時代において、パスワードは私たちの生活の基本的な要素となっています。私たちはそれらを使用してメール、ソーシャルメディア、オンラインバンキングなど、多くのオンラインサービスにアクセスしています。しかし、パスワードはしばしば十分に安全ではありません。簡単に推測されたり、ハッキングされたりする可能性があります。最近の「世界パスワードデー」の調査では、人々がまだ「guest」、「123456」、「azerty1233」といった推測しやすいパスワードを使用していることが明らかになりました。
この問題に対処するため、グーグルは「Passkeys」と呼ばれる新しい認証システムを導入しました。
パスキーは、各ユーザーに固有の暗号キーであり、従来のユーザー名とパスワードの組み合わせを置き換えます。これは楕円曲線暗号(ECC)を使用して作成されます。この技術は、二つのパーティーが安全ではないチャネルを介して情報を安全に交換することができるようにします。
パスキーを作成するために、ユーザーのデバイスはECCを使用して公開鍵と秘密鍵のペアを生成します。秘密鍵はデバイス上で安全に保存され、誰とも共有されません。その後、公開鍵がGoogleのサーバーに送信され、それを使用してユーザーのための一意のパスキーが作成されます。このパスキーは、その後ユーザーのデバイスに送信され、安全に保存されます。
ユーザーがオンラインサービスにログインすると、そのデバイスはパスキーをサービスのサーバーに送信します。サーバーは、ユーザーの公開鍵をグーグルのサーバー上に保存されているパスキーと照合することにより、パスキーの正当性を検証します。パスキーが有効であれば、ユーザーはサービスにアクセスできます。
パスキーは、従来のパスワードに比べてはるかに優れた認証システムです。第一に、各パスキーはユーザーに固有であり、共有されることはありませんので、はるかに安全です。第二に、パスキーはパスワードよりもはるかに使いやすいです。パスキーはユーザーのデバイスに保存されているため、複雑なパスワードを覚える必要も、ログインするたびに入力する必要もありません。
将来的には、パスキーが従来のユーザー名とパスワードの資格情報を置き換える「革命的な」新しい認証システムとなるのかどうか、その時が証明してくれるでしょう。
出典: Passwordless login with passkeys | Authentication | Google Developers