パスキー

パスキーは、従来の認証要素（識別子/パスワードなど）よりもフィッシング耐性が高く、より簡単かつ安全なログインエクスペリエンスをユーザーに提供します。パスキーは、FIDO® W3C Web Authentication（WebAuthn）とClient to Authenticator Protocol (CTAP)の仕様をモデルとしています。

パスキーは、資格情報を複数のデバイスで同期することによって、シングルデバイス認証方式に伴う摩擦を低減します。クロスデバイス認証は、ユーザーが持っているデバイスをそれぞれ個別に登録する手間を省きます。また、登録に使ったデバイスを紛失しても、保管されている資格情報は残っているため、復旧方法がより確実になります。パスキーの詳細については、FIDO® Allianceが提供しているPasskey FAQsを参照してください。

Auth0はデータベース接続の認証方法としてパスキーに対応しています。

パスキーは、従来の認証要素同様、サインアップ、ログイン、アカウント復旧など、いくつかのユーザーエクスペリエンスフローに対応しています。

サインアップフローではユーザーはメールアドレスを提供してから、クロスデバイス認証を通して既存のデバイスまたは別のデバイスのいずれかでパスキーを作成する必要があります。

1. ユーザーにメールアドレスの入力を求めます。

   

2. ユーザーがメールアドレスを入力します。

   

3. ユーザーにパスキーの作成を求めます。

   

4. ユーザーが［Create a passkey（パスキーの作成）］を選択すると、パスキーを作成するブラウザー（またはオペレーティングシステム）のフローがトリガーされます。

   

   • ユーザーが［Continue（続行）］を選択すると、デバイスの資格情報を使って認証することが求められます。

     

   • ユーザーが［Try another way（別の方法を試す）］を選択すると、別のデバイスでパスキーを作成するよう求められます。

     

ログインフローでは、ユーザーが現在のデバイスに登録されているパスキーを持っているかどうかを検出し、自動入力機能を使ってそれを自動的に選びます。そのデバイスに複数のパスキーが登録されている場合は、ボタンを使って手動で1つを選ぶことができます。

1. ユーザーにメールアドレスまたはパスキーの入力を求めます。

   

2. ユーザーは自動入力機能を使うか、［Continue with a passkey（パスキーを使って続行する）］を選べます。

   

3. ユーザーにデバイスの資格情報を使って認証するよう求めます。

   

ユーザーがアカウントをリセットする必要がある場合、ユニバーサルログインを使ってインタラクティブなパスワードリセットフローをトリガーすることができます。

パスキーは、復旧時に使える別の要素を確保し、パスワードからパスキーへのユーザーの移行を促すために、データベース（識別子/パスワード）接続に実装されます。

MFAが有効だと、設定やリスク評価に基づき、ユーザーはパスキーを使った認証後にMFAチャレンジを完了するよう求められる場合があります。

デフォルトでは、使った認証方法がパスワードかパスキーかに関係なく、MFAチャレンジの完了が必要です。パスキーの提供するセキュリティが高水準であることを踏まえ、ユーザーの負担を減らすために、パスキーで認証を行ったユーザーにはMFAを省略しても構いません。その場合は、Post-Loginアクションを使います。

詳細は、「パスキーを使って摩擦を軽減する」および「多要素認証」をお読みください。