GitHubは9月21日(米国時間)、「Passkeys are generally available - The GitHub Blog」において、すべてのGitHubユーザーはパスワードなしでサインインするためのパスキー(Passkeys)を登録できるようになったと伝えた。

  • Passkeys are generally available - The GitHub Blog

    Passkeys are generally available - The GitHub Blog

GitHubは2023年7月からパスキーのパブリックベータ版のテストを実施していたが、このたび正式リリースとなり、全GitHubユーザーがパスキーを利用できるようになった。パスキーを利用するにはGitHubの設定からPassword and authenticationを選び、Passkeysの「Add a passkey」ボタンから設定する。

  • Password and authenticationのパスキー追加の画面

    Password and authenticationのパスキー追加の画面

パスキーはパスワードなしの認証を可能にする新しい認証方式で、運用時には生体認証などを使って事前生成および登録した公開鍵・秘密鍵を使って認証する。認証資格情報には公開鍵暗号の秘密鍵と認証サーバの情報が含まれており、生体情報と秘密鍵による二要素認証(2FA: Two-Factor Authentication)と、サーバの検証によるフィッシング対策が同時に実現されることになる。サーバには秘密鍵に対応した公開鍵のみが保存され、生体情報は提供されない。

認証資格情報は所有者のデバイス上に保管され、正しい生体情報が入力された場合のみ取り出せる。よって、パスキーは専用の対応デバイスが必要となるが、比較的新しいスマートフォンやタブレット、Windows、macOSから利用できるとされている。このように、パスキーはパスワード入力が不要という利便性と、高い安全性を両立した認証方式といわれている。

GitHubは2023年中にすべてのユーザーを二要素認証で保護する目標を掲げている。今回のパスキーもその一環で、パスキーに対応したデバイスを使用していてパスキーを設定していないユーザに対しては、順次パスキーを登録するように促すとしている。

  • パスキーの登録を促す画面 - 提供: GitHub

    パスキーの登録を促す画面 引用:GitHub

また、GitHubはすでに登録されているハードウェアキーによるセキュリティキーをパスキーにアップグレードできるとしている。ただし、互換性のチェックを開始して間もないため、すべてのセキュリティキーがアップグレードできるわけではないことに注意してほしいとのこと。