大事な情報はネットワークに流さない、パスワードレス認証「パスキー」の巧みな仕組み

IDやパスワードを入力することなくアカウントにログインできるパスワードレス認証の「パスキー」が注目されている。Webサービスでの対応が進み、一部の企業でも導入が始まった。 パスワードを使わないため、フィッシング詐欺などの被害を避けられる。またパスワードを用いた認証と異なり、生体情報やPIN（暗証番号）などの大事な認証情報がネットワーク上を流れない点が特徴だ。 ではパスキーは具体的にどのような仕組みで認証をしているのだろうか。以下で解説しよう。 認証情報から「鍵」を作成 現状、パスキーという言葉は複数の意味で使われている。この特集ではFIDO2（Fast Identity Online 2、ファイド2）という仕様に基づいた、複数の端末（マルチデバイス）に対応するパスワードレス認証を指す。 そこでまずはFIDO2について説明しよう。FIDO2による認証を利用するには、認証を受け持つ「FIDOサ

[maeda_a]

中間者攻撃への耐性が高いのは、TLSで確認したサーバ名等から作ったKeyIndexと認証鍵に格納したKeyIndexを突合して通信相手を検証するからじゃないの？