パスキーとは何ですか?
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
パスキーパスキーは、オンライン取引先へのログインを安全かつスムーズに実現する方法です。パスワードや複雑な認証方法が不要になるため、不正アクセスのリスクが大幅に軽減されます。フィッシング攻撃に対する保護機能も備えており、アカウントや機密情報が安全に保たれます。
パスキーはパスワードよりも安全ですか?
- パスキーは安全なアルゴリズムとランダム化されたパラメーターで作成されるため、弱いパスワードによる辞書攻撃のリスクを排除します。
- 非公開鍵は信頼できるデバイス内に安全に保存されており、不適切なクライアント側保存による脆弱性を解消します。
- 各Webサイトごとにユニークなパスキーが作成されるため、パスワードの使い回しやクレデンシャルスタッフィングのリスクが軽減され、万が一認証情報が漏洩しても被害を最小限に抑えます。
- パスキーにより複雑なパスワードルール(例:特定の長さや文字の組み合わせ)が不要になり、セキュリティ向上とユーザー体験の両立が図れます。
- パスキーは手動によるパスワード入力を不要にします。特定ドメインと紐づけられているため、ドメインが一致しないフィッシングサイトではパスキーの入力画面が表示されません。
パスキーの仕組み
パスキーは、非公開鍵と公開鍵という2つの非対称暗号鍵で構成されています。これらの鍵は長く、ランダムに生成され、各パスキーごとに固有です。また、一方のキーで暗号化されたメッセージをもう一方のキーで復号できる関係にあり、この仕組みがユーザー認証と検証に利用されます。
非公開鍵は、パスワードマネージャー(パスキープロバイダー、例:Zoho Vault)内でデバイス上に安全に保存されます。非公開鍵はデバイス上に保管され、バイオメトリクス、PIN、またはパスワードで保護されます。アクセスするWebサイトは対応する公開鍵を保持しています。公開鍵は安全に共有できるため、仮にWebサイトが侵害された場合でも、非公開鍵やセキュリティは損なわれません。
パスキーによるログインの流れ
- ユーザーがWebサイトにアクセスし、ログインプロセスを開始します。
- ランダムな暗号チャレンジがWebサイトからユーザーに生成・送信されます。
- ユーザーは自身のデバイス上で、バイオメトリクスやPINなどの安全な方法で認証し、デバイス内に保存された非公開鍵へのアクセスを解除します。
- 非公開鍵を使って、Webサイトから送られた暗号チャレンジに署名します。
- 署名済みのチャレンジをWebサイトに返送します。
- Webサイトは、ユーザーの公開鍵を使って署名を検証し、本人確認を行います。
- 検証が完了すると、Webサイトはアクセスを許可します。
パスキーの保存・ログイン・管理をZoho Vaultで
Zoho Vaultを使えば、パスキーの管理が簡単になります。取引先用に作成したパスキーを安全に保存・共有し、ブラウザから直接スムーズにサインインできます。
パスキーが現在サポートされているWebサイト一覧はこちらです。パスキーやパスワードレスログインは新しい技術のため、今後時間の経過とともに利用できるサイトが増え、より多くのWebサイトでパスワードの代替手段としてパスキーが提供されるようになります。