スタッフベースは、ユーザーがアプリやイントラネットにサインインするための安全でパスワード不要の方法としてパスキーをサポートしています。パスワードを入力する代わりに、ユーザーは指紋認証、顔認証、またはデバイスの画面ロックPINを使って認証できます。一度パスキーを作成すると、ユーザーは今後のサインインですべてスタッフベースプラットフォームにシームレスにサインインできます。

パスキーがアプリ／イントラネットで動作する仕組み

パスキーは、パスワード不要認証に特化したオープン業界団体であるFIDOアライアンスによって開発された最新のFast Identity Online（FIDO）標準に基づいています。

ユーザーがパスキーを作成すると、デバイスは固有の暗号化キーのペアを生成します：

• 秘密鍵：ユーザーのデバイスに安全に保存され、外部に共有されることはありません。
• 公開鍵：スタッフベースと安全に共有されます。

これらのキーは、鍵と錠のように機能します。秘密鍵は、スタッフベースから送信されるサインインリクエストを公開鍵で検証するために使用されます。

サインイン時のパスキーの仕組み

パスキーは本質的に多要素認証をサポートしています。2つの要素は次の通りです：

1. 所有しているもの：パスキーが保存されているデバイス。
2. 本人であること、または自分のもの：
   
   • 指紋や顔認証などの生体認証
   • デバイスの画面ロックPINやパターンなど、自分だけのもの

この2要素の組み合わせにより、物理的なものと個人的なものを組み合わせてパスキーのセキュリティが非常に高くなります。

パスキーでサインインする際：

1. スタッフベースが公開鍵に基づいたリクエストを送信します。
2. デバイスが指紋、顔認証、または画面ロックで秘密鍵を解除します。
3. 秘密鍵がリクエストを認証し、スタッフベースに返送してサインインプロセスを完了します。

指紋、顔認証、または画面ロックの情報がスタッフベースと共有されることはありません。これらの機密情報はデバイス内にのみ保存され、秘密鍵の解除のみに使用されます。

複数のアカウントでパスキーを使ってサインインする場合、それぞれのアカウントごとに固有のキーのペアが作成されます。これにより、認証情報がサービス間で再利用されるのを防ぎ、セキュリティがさらに強化されます。

パスキーのメリット

セキュリティの向上

• フィッシング耐性：パスキーは悪意のあるウェブサイトに共有されることがありません。
• パスワード漏洩なし：パスワードの盗難やデータ漏洩のリスクを排除します。
• 生体認証やデバイス認証：指紋、顔認証、またはデバイスの画面ロックPINで認証が行われます。

ユーザー体験の向上

• ワンタップサインイン：指紋、顔認証、またはデバイスの画面ロックPINを使うだけで解除できます。デバイスのロック解除と同じくらいシームレスなサインイン体験です。
• パスワード不要：長いパスワードを覚えたり入力したりする必要がありません。生体認証を使う場合、パスキーは忘れることがありません。

管理の容易さ

• パスワードリセット依頼の減少：パスワードへの依存が減ることでリセット依頼が減り、フィッシングやパスワード再利用などの認証情報に関する攻撃リスクも最小限になります。
• セッションタイムアウトの短縮：管理者は、プラットフォームの利用やユーザー体験に悪影響を与えずに、より厳格なセッションタイムアウトポリシーを実施できます。

パスキーによるサインインのユーザー体験

ユーザー体験は、デバイスや利用可能なパスワードマネージャーによって異なる場合があります。

例：

• 同じエコシステムを利用する場合：macOSでデスクトップにサインインし、iPhoneでモバイルアプリにサインインする場合、秘密鍵がデバイス間で共有されるため、1つのパスキーのみが作成されます。
• 異なるエコシステムを利用する場合：macOSでデスクトップにサインインし、Androidデバイスでモバイルアプリにサインインする場合、それぞれ異なるパスキーが生成されます。

下記の例では、モバイルアプリはGoogleパスワードマネージャーを、デスクトップアプリはiCloudキーチェーンを使用しています。

下記の例では、指紋認証を使ったサインインプロセスを示しています。顔認証や画面ロック認証も同様にシームレスに動作します。

追加の参考情報

• パスキーの管理