Googleは12月2日にWebブラウザ「Chrome」の最新の安定版であるバージョン108.0.5359をリリースしたが、この新バージョンでは新しい認証方式の「Passkey」が正式にサポートされている。Passkeyは、OSがネイティブで持つパスワードマネージャーやデバイス間のパスワード同期機能と連携することによって、ユーザーがパスワードの存在を意識することなくログインなどの認証を行える認証方式である。

Ars Technicaは12月10日、「RIP Passwords? Passkey support rolls out to Chrome stable」において、ChromeにおけるPasskeyのサポート状況について伝えた。

Passkeyの技術仕様はGoogleやApple、Microsoftをはじめとする多数のベンダーと、標準化団体のFIDO Allianceによって策定されており、パスワードに代わる次世代の認証技術として注目を集めている。パスワード認証は、もともとはユーザー自身が秘密のキーワードを覚えておき、それを入力することで認証を行うというシンプルな仕組みだった。しかし、管理するパスワードが増えたことで人間がすべて覚えて運用するのは現実的ではなくなったため、パスワードマネージャを利用するのが一般的となった。現在、OSやWebブラウザがパスワードマネージャの機能を内包しているため、ほぼ全てのインターネットユーザーがこれを利用できる状態にある。

Ars Technicaは、Passkeyはこのパスワードマネージャの機能を一歩先に進めたものと説明している。現在推奨されているパスワード認証の使い方は、パスワードマネージャが生成したランダムの文字列をパスワードとして利用することだ。パスワードの記憶はパスワードマネージャに完全に任せて、ログイン時の入力はWebブラウザの自動入力やコピー&ペーストで行う。Passkeyでは、このパスワード入力そのものを省略して、代わり「シークレット」と呼ばれる認証用の鍵をWebサイトに渡し認証を行う。

Passkeyでは、Webサイト側には公開鍵のみが保管され、ペアになる秘密鍵はデバイス側に安全に保管される。したがって、これまでのようにWebサイトからパスワードが流出する危険性がないのが大きな特徴だ。デバイスの秘密鍵へのアクセスには、Face IDやTouch IDといった各デバイスの生体認証をクリアする必要がある。この仕組みによって、Webサイトへのログインも、間接的にデバイスの生体認証を使って行えるようになるというわけだ。

Passkeyのもう一つの特徴は、PCでWebサイトにログインしようとした際に、物理的に近くにある別のデバイスを認証用のデバイスとして利用できるという点である。例えば、あるWebサイト用の秘密鍵がiPhoneに保管されており、そのWebサイトにPCでログインしたい場合、iPhoneが手元にあればPasskeyを使ったログインが可能となる。

その方法は簡単で、WebブラウザにPasskeyを使うためのQRコードが表示されるので、それをiPhoneのカメラで読み込み、生体認証で秘密鍵のロックを解除すればよい。デバイスが近くにあるがどうかの確認にはBluetooth通信が使われるが、認証自体はiPhoneとWebサイトの間で行われ、Bluetooth経由で秘密鍵が共有されるわけではない。

  • passkeys.ioでのPasskeyによるサインインのデモ

    passkeys.ioでのPasskeyによるサインインのデモ

  • passkeys.ioでのPasskeyによるサインインのデモ

    passkeys.ioでのPasskeyによるサインインのデモ

Ars Technicaは各OSとChromeの間のPasskeyのサポート状況がまとめられているが、その元情報は次のChromeのサポートページにある。

  • Chromeと各プラットフォームにおけるPasskeyのサポート

    Chromeと各プラットフォームにおけるPasskeyのサポート

プラットフォーム間のパスキーの同期については、iCloudやGoogleアカウントといった、各プラットフォームのパスワードマネージャが持つクラウド同期機能を使って行われる。現時点ではスマートフォンでのログインとPasskey同期の両方に対応しているのはiPhone/iPadのみだが、WindowsやmacOS、Androidでも順次サポートが追加される予定だ。この表にはChrome OSが含まれていないが、Ars Technicaによれば、Googleは「Chrome for iOS と Chrome OSでパスキーをサポートする作業を続けている」と説明しているという。