同期パスキー

同期パスキーでは、ログインに使われる秘密鍵またはそれを含む認証情報が、Apple、Google、1Password などのパスキープロバイダによって、暗号化された形で複数端末に同期される。

この仕組みは、端末紛失時の復旧性が高い一方、安全性は同期・復旧を担うプロバイダの実装、アカウント保護、復旧手続きの強度に依存する。

安全な同期・復旧の仕組み

端末を紛失した場合、ユーザーは新しい端末を用意し、パスキープロバイダのアカウントにサインインする。

そのうえで、端末パスコード、既存端末からの承認、復旧コードなどを使って、新しい端末を信頼済み環境に加える。

この復旧手続きは、運営側が暗号化された秘密鍵を復号してユーザーに渡すものではない。

新しい端末が、ユーザー側の認証情報や端末内の鍵を使って、暗号化済みパスキーデータを復号・利用できる状態にするための手続きである。

同期パスキーの注意事項

同期パスキーの安全性は、パスキープロバイダの復旧設計に対する信頼に依存する。

具体的には、悪意あるアップデート、実装上の欠陥、弱い復旧手続きがあれば、リスクとなる。

対比として、デバイス固定パスキーでは秘密鍵が特定の認証器から外へ出ないため、同期基盤への依存は小さいが、認証器を失うと復旧が難しい。同期パスキーは復旧しやすいが、同期と復旧の仕組みへの信頼が必要である。