Passkey
パスキーは、公開鍵暗号化を用いる WebAuthentication ("WebAuthn") 標準に則って開発されています。 アカウントの登録中に、オペレーティングシステムは一意の暗号化鍵のペアを作成し、該当する App や Web サイトのアカウントと紐付けます。
これらの鍵は、アカウントごとにデバイスによって安全かつ一意に生成されます。
鍵ペアの片方が公開鍵で、これはサーバ上に保管されます。この公開鍵はシークレット (秘密) ではありません。
もう片方が秘密鍵で、実際にサインインする際にはこれが必要です。
秘密鍵が何かサーバ側が知ることはありません。
Touch ID または Face ID に対応した Apple 製デバイスでは、Touch ID や Face ID でパスキーの利用を承認でき、それを受けて、App や Web サイトに対してユーザの本人確認が行われます。共有のシークレットが転送されることもなく、サーバが秘密鍵を保護する必要もありません。そうしたわけで、パスキーは非常に強力かつ使いやすい、フィッシング詐欺対策に秀でた資格情報になるのです。また、プラットフォームベンダーが FIDO Alliance の枠組の中で連携し、パスキーの実装をクラスプラットフォーム対応にし、できるだけ多くのデバイスで使えるよう努めています。