大手企業のサービスの認証に「パスキーが使えます!」という内容のニュースが掲載されるなど、少しずつパスキー(Passkeys)が一般に利用されるようになってきました。
しかし、まだ実際に使ったことがあるという人は少ないのではないでしょうか?
弊社が提供するPCログオンセキュリティ強化製品「YubiOn FIDO Logon」でも、実はパスキーを使うことができますので、「パスキーってどうやって使うの?」という疑問に対し、具体的な操作手順を含めてご紹介させていただきます。
といっても、パスキーが使えるのは、製品コンセプトのメインであるPCログオンの認証ではなく、FIDO Logonの管理Web画面へのログイン時です。
というわけで、FIDO Logonの管理Web画面にパスキーでログインする方法についてご紹介いたします。
目次
パスキーについて
パスキーとは、パスワードに代わる認証方法で、元々「WebAuthn」と呼ばれていたものが、近年では「パスキー」とまとめて呼ばれるようになって来ています。以前からFIDOを知っている方からすると少し混乱しますが、恐らく「WebAuthn」という言葉を使うより、一般向けにもっと受け入れやすい言葉を浸透させたいという意図があるのだと思います。
このあたりのパスキーに関する詳細な内容は、別のブログでも書いていますので、そちらを参照してください。
今回試すのは、上記ブログで言うところの「狭い意味での」パスキー、つまりYubiKeyなどの外部認証デバイスは使わず、iPadを使って、クラウド上に秘密情報を置くタイプのパスキーを試してみます。どこのクラウドを利用するかですが、現在利用できる有名どころとしてはAppleがありますので、試していきたいと思います。
パスキーの使い方手順
■iPadを使う場合の例
AppleIDを使った方法を試していきますが、あいにくiPhoneは持っていないので、代わりにiPadを使って試してみました。
試した環境
ログインする対象:FIDO Logon管理Web画面へのログイン
PC:ノートPC
※今回試す方法は、Bluetoothの機能を使いますので、Bluetoothが使える機種である必要があります。
OS:Windows10 22H2
ブラウザ:Chrome (バージョン: 111.0.5563.65)
iPad Pro:iPadOS 16.2
・パスキーの登録
Androidを使う時と同様に、パスキーを使うための登録操作を行います。
PCでChromeを開きます。
FIDO Logonの管理Web画面にログインし、右上の名前表示から、「個人設定」を開きます。
右上のプラスボタンをクリックし、追加操作を始めます。
確認メッセージで「OK」をクリックします。
YubiOn FIDO Logonでは、デフォルトでセキュリティキーのセットアップのポップアップが表示されますが、今回はデバイスではないのでキャンセルをクリックします。
パスキーの作成方法選択が表示されました。
「別のデバイス」を選択します。
画面上に登録用のQRコードが表示されます。
このQRコードをiPadで読み取ります。
iPadを操作し、標準のカメラアプリで読み取りを行います。
読み取りを行うと上部にメッセージが表示されるのでタッチして進めます。
※iPadの標準のカメラアプリはQRコード読み取り機能があるので、別途アプリは使用しませんでした。
Appleのサインインを求められるのでTouchIDの認証を行って進めます。
iPadの認証が成功しました。
この時点で、Appleのクラウドにパスキーの秘密情報が保存されたことになります。
PCのブラウザに戻ると、登録に成功したポップアップが表示されます。
登録した情報に名前を付けておきます。
これでパスキーの登録が完了しました。
次に、登録したパスキーでログインができるかを試します。
・パスキーで認証
一度管理Web画面からログアウトして、ログイン画面を表示します。
ログイン画面で、メールアドレスを入力し、確認ボタンをクリックします。
デフォルトはセキュリティキーの表示が出ますので、キャンセルをクリックします。
iPadの場合は一覧に出てこないため、ここでも「別のデバイス」を選択します。
QRコードが表示されますのでもう一度iPadで読み取ります。
iPadのカメラアプリを起動し、QRコードの読み取りを行います。
読み取り後、上部に表示される「パスキーでサインイン」をタップします。
Appleの認証操作を行います。
スマホの認証に成功すると、ログインに成功しました。
iPadでもパスキーを使った認証に成功しました。
・補足(iPadのブラウザでの操作)
iPadのブラウザでの操作も確認しておきます。
iPadのブラウザで登録を行う場合
iPadでSafariを開き、YubiOn FIDO Logonの管理Webサイトから登録操作を試してみました。
結論から言うと登録はできませんでした。
登録操作を行おうとすると、iPadによる登録が選択があるので進めてみます。
次にQRコードが表示されるのですが、iPadにQRが表示されているため、iPad自身の画面を読み取ることができず、この先に進むことができません。この状態で別アプリを起動できればいいのですが、ホームボタンを押した時点でキャンセルされてしまうため、どうしようもなく...。
何か方法があるのかもしれませんが、今回は登録はできませんでした。
iPadのブラウザでログインを行う場合
すでに登録がある場合は、ログイン操作を行う時に、パスキーを使ったログインが自動的に表示されます。
TouchIDのサインイン操作を行うことでログインが可能です。
■Androidスマホを使う場合の例
Androidスマホの場合、弊社側の実装方法の影響と、Androidのバージョン等の関係で、現時点ではクラウド上に秘密情報が保存される動作ではありません。※今後のバージョンアップで対応していく見込みです。
ただ、操作自体はiPadとほぼ同じとなりますので、こちらのパターンもご紹介します。
今回は以下の環境で試しました。
※試す際の条件(ブラウザのアカウントログイン状態など)によって表示が変わる可能性がありますので、その点ご注意ください。
試した環境
ログインする対象:FIDO Logon管理Web画面へのログイン
PC:ノートPC
※今回試す方法は、Bluetoothの機能を使いますので、Bluetoothが使える機種である必要があります。
OS:Windows10 22H2
ブラウザ:Chrome (バージョン: 111.0.5563.65)
Googleアカウントにログインした状態で行います。
Androidスマホ:Android 11
PCで使ったGoogleアカウントと同じGoogleアカウントが登録されているスマホを使います。
・パスキーの登録
まずはパスキーを使うための登録操作を行います。
PCでChromeを開きます。
※この時Googleアカウントにログインした状態です。
FIDO Logonの管理Web画面にログインし、右上の名前表示から、「個人設定」を開きます。
この画面で、管理Web画面にログインする時の2要素認証設定を行うことができます。
ちなみに、YubiKeyなどの認証デバイスもここで設定が可能です。
右上のプラスボタンをクリックし、追加操作を始めます。
確認メッセージで「OK」をクリックします。
YubiOn FIDO Logonでは、デフォルトでセキュリティキーのセットアップのポップアップが表示されますが、今回はデバイスではないのでキャンセルをクリックします。
パスキーの作成方法選択が表示されました。
「別のデバイス」を選択します。
※今回はChromeで試しています。ChromeとEdgeではこの選択がでますが、Firefoxではでないようです。
※もしすでにスマホデバイスを登録済みの場合は、デバイス名が一覧に表示されます。この場合は次のQRコードの読み取りを飛ばして登録操作に進むことができます。
画面上に登録用のQRコードが表示されます。
このQRコードをスマホで読み取ります。
スマホを操作し、QRコードが読み取れるアプリで読み取りを行います。
標準のカメラ機能でQRコード読み取り機能がある場合はそちらで問題ないかと思います。
読み取り後の挙動はアプリによって変わります。
※筆者の使用しているQRコード読み取りアプリの場合は、読み取りの後、「ブラウザで表示」を選択することで次に進みました。
確認メッセージが表示されます。
「許可する」をタップして進みます。
この時、スマホの認証操作(指紋やパターンなど)を行います。
認証が成功すると次に進みます。
スマホの認証が成功しました。
今回は実装の関係上、秘密情報はAndroid上に保存されていることになりますが、「狭い意味での」パスキー動作の場合はこの時点で、Googleのクラウドにパスキーの秘密情報が保存されることになります。
また、ChromeのGoogleアカウントの方にスマホデバイスの情報も登録されるようで、次回からは別のデバイスの選択肢に、登録されたスマホの名前が表示されるようになります。
そのため、ChromeのゲストモードでChromeを操作している場合は表示されませんでした。
PCのブラウザに戻ると、登録に成功したポップアップが表示されます。
登録した情報に名前を付けておきます。
これでパスキーの登録が完了しました。
次に、登録したパスキーでログインができるかを試します。
・パスキーで認証
一度管理Web画面からログアウトして、ログイン画面を表示します。
ログイン画面で、メールアドレスを入力し、確認ボタンをクリックします。
デフォルトはセキュリティキーの表示が出ますので、キャンセルをクリックします。
登録済みのスマホ名が表示されているので選択します。
※Chromeのゲストモードなど、Googleアカウントに未ログインの状態ではこの選択がでません。
その場合でも、「別のデバイス」を選択し、登録時と同じようにQRコードを読み取ることで認証を進めることもできます。
すると、スマホに通知を送ったというメッセージが表示されます。
スマホの方を確認すると通知が来ていました。
通知を開いて次に進むと接続確認が表示されますので、「許可する」をタップして進みます。
進めると、スマホの認証が入ります。
スマホの認証に成功すると、ログインに成功しました。
これでパスキーを使った認証に成功しました。
・補足(Androidスマホのブラウザでの操作)
PCのブラウザでYubiOn FIDO Logonへのログイン操作を行いましたが、Androidスマホ自身のブラウザでログインを行った場合についても触れておきます。
スマホのブラウザで登録を行う場合
スマホのブラウザで登録を行う場合は、別のデバイスの登録が選択に出てこないため、パスキーの登録ができません。
スマホのブラウザでログインを行う場合
PCのブラウザからすでに登録が終わっているスマホで、ブラウザを開いてログインを行う場合、パスキーでの認証を行うことが可能です。
これはサービス(RP)側の実装によって変わってくるのですが、YubiOn FIDO Logonの場合はセキュリティキーが優先して表示される実装です。しかし、Androidスマホの場合はセキュリティキー選択をキャンセルする操作をしても別のデバイス選択が表示されないため、セキュリティキー以外の登録操作ができません。
ただし、パスキー登録が終わっている場合はパスキーが自動的に選択されるため、認証時はパスキーで認証できるということになります。
この辺り、RP側の実装や使うデバイス(ブラウザ)によって挙動が変わるため、わかりづらい点ではないかと思います。筆者は試していて非常に混乱しました。
まとめ
iPadやスマホを使うことで、パスキーを使ってYubiOn FIDO Logonの管理Web画面にログインすることができました。
今回は弊社サービスへのログイン例でしたが、皆さんがお使いのサービスがパスキーに対応していればぜひ試してみてください。パスキーはパスワードを使わないため、入力の手間が少なく、しかもセキュリティ強度も上げることができるため、セキュリティデバイスをお持ちでない場合は特に使いやすいのではないかと思います。
パスキーは今後もっと採用率が上がり、利用者が意識せずともいろいろなサービスやサイトで利用されることが予想されます。
ただ、現時点はOSやブラウザ側もまだ実装が統一されていない部分もあり、操作の仕方によって表示が変わってしまうことがありますので、この辺りの仕様が固まってくるまでは注意する必要があります。
弊社もFIDO Allianceの一員として、今後も皆様にパスキーの情報をお伝えしていければと考えておりますので引き続きよろしくお願いします。
今回ご紹介したYubiOn FIDO Logonの詳細はこちらの製品紹介ページをご確認ください。
最後までお読みいただきありがとうございました。