GitHubは9月21日(米国時間)、「Passkeys are generally available - The GitHub Blog」において、すべてのGitHubユーザーはパスワードなしでサインインするためのパスキー(Passkeys)を登録できるようになったと伝えた。
GitHubは2023年7月からパスキーのパブリックベータ版のテストを実施していたが、このたび正式リリースとなり、全GitHubユーザーがパスキーを利用できるようになった。パスキーを利用するにはGitHubの設定からPassword and authenticationを選び、Passkeysの「Add a passkey」ボタンから設定する。
パスキーはパスワードなしの認証を可能にする新しい認証方式で、運用時には生体認証などを使って事前生成および登録した公開鍵・秘密鍵を使って認証する。認証資格情報には公開鍵暗号の秘密鍵と認証サーバの情報が含まれており、生体情報と秘密鍵による二要素認証(2FA: Two-Factor Authentication)と、サーバの検証によるフィッシング対策が同時に実現されることになる。サーバには秘密鍵に対応した公開鍵のみが保存され、生体情報は提供されない。
認証資格情報は所有者のデバイス上に保管され、正しい生体情報が入力された場合のみ取り出せる。よって、パスキーは専用の対応デバイスが必要となるが、比較的新しいスマートフォンやタブレット、Windows、macOSから利用できるとされている。このように、パスキーはパスワード入力が不要という利便性と、高い安全性を両立した認証方式といわれている。
GitHubは2023年中にすべてのユーザーを二要素認証で保護する目標を掲げている。今回のパスキーもその一環で、パスキーに対応したデバイスを使用していてパスキーを設定していないユーザに対しては、順次パスキーを登録するように促すとしている。
また、GitHubはすでに登録されているハードウェアキーによるセキュリティキーをパスキーにアップグレードできるとしている。ただし、互換性のチェックを開始して間もないため、すべてのセキュリティキーがアップグレードできるわけではないことに注意してほしいとのこと。