パスキー

パスキーは、Webサービスへのログインに使われる公開鍵暗号方式の認証情報である。

利用者側の認証器には秘密鍵が保存され、サービス側には対応する公開鍵が登録される。

パスワードのように共通の秘密をサービスへ送信しないため、漏えいやフィッシングに強い認証方式として位置づけられる。

パスキーは、FIDO2/WebAuthnによる公開鍵認証を、一般利用者が使いやすい形に発展させたものである。

一方で、端末の紛失や買い替えの際に復旧が難しいという課題を有する。

この課題に対応するため、OS、ブラウザ、パスワードマネージャーを通じて、パスキーを同期・復元できる仕組みが整えられており、現在では、特定の認証器に固定されるものと、複数端末に同期されるものが併存している。

デバイス固定パスキー

デバイス固定パスキー（device-bound passkey）とは、特定の認証器や端末に結びついたパスキーである。秘密鍵はその認証器の内部に保持され、他の端末へ同期されない。

デバイス固定パスキーの利点は、秘密鍵が認証器の外へ出にくく、同期基盤への依存が小さい点にある。攻撃者がクラウドアカウントを侵害しても、その認証器自体を入手できなければログインすることは難しい。

一方で、端末やセキュリティキーの喪失により、認証手段を復旧できなくなるリスクがある。

同期パスキー（synced passkey / multi-device credential）とは、複数の端末や環境に同期・復元できるパスキーである。AppleのiCloudキーチェーン、Google パスワード マネージャー、1Password、Bitwardenなどのパスキープロバイダを通じて利用される。

同期パスキーの利点は、端末を1台失っても、同じパスキープロバイダにアクセスできれば復旧できる可能性が高い点にある。新しい端末をセットアップし、Apple ID、Googleアカウント、パスワードマネージャーなどの利用環境を回復できれば、保存済みのパスキーを再び利用できることが多い。

同期パスキーは、すでに同期済みの端末では、端末上の本人認証（PINや生体認証）で利用できる。一方で、新しい端末で初めてパスキーを使えるようにする場合は、その端末をパスキープロバイダの信頼できる環境に加える必要がある。その際には、既存端末での承認、端末パスコード、確認コード、バックアップコードなどが求められる場合がある。

つまり、同期パスキーの安全性は、日常利用では端末ロックによって支えられ、新しい端末への復元時にはプロバイダアカウントと追加確認の組み合わせによって支えられている。