パスキーの概要
パスキーを使用すると、パスワードを入力しなくても、ブラウザで GitHub に安全にサインインできます。
2 要素認証 (2FA) を使っている場合、パスキーはパスワードと 2FA の両方の要件を満たすので、1 つの手順でサインインを完了できます。 2FA を使用しない場合、パスキーを使用すると、メールで新しいデバイスを検証する要件はスキップされます。 また、パスキーは sudo モードやパスワードのリセットにも使用できます。
パスキーは、制御する認証子によって格納される暗号化キー (公開キーと秘密キー) のペアです。 認証子は、ユーザーが存在し、パスキーを使用する権限があることを証明できます。 認証子は、認証子の機能と構成に応じて、PIN、パスコード、生体認証、またはデバイス パスワードを使用して承認を証明します。 認証子は、iPhone または Android デバイス、Windows Hello、FIDO2 ハードウェア セキュリティ キー、パスワード マネージャーなど、さまざまな形式で提供されます。
パスキーを使用して GitHub にサインインすると、認証子は公開キー暗号化を使用して、パスキーを送信せずに GitHub に ID を証明します。 パスキーは GitHub.com
のような Webサイト ドメインにバインドされ、セキュリティで保護された接続が必要です。つまり、Web ブラウザーは類似したフィッシング詐欺サイトに対する認証を拒否します。 これらのプロパティにより、パスキーはフィッシングに強く、フィッシングされる可能性のあるSMS や TOTP 2FA よりも攻撃がはるかに困難になります。
クラウドベースのパスキー サービスを使用すると、パスキーを複数のデバイス (Apple デバイス、Android デバイス、パスワード マネージャーなど) 間で同期できるため、より多くの場所から使用でき、簡単に失われなくなります。 同期されたパスキーを 1 つのデバイスに設定すると、そのパスキーを同じサービスを使用する複数のデバイスで使用できるようになります。 たとえば、MacBook の Touch ID を使用して、iCloud アカウントでパスキーを登録すると、同じ iCloud アカウントに関連付けられた複数のデバイス全体で、顔、指紋、PIN、またはデバイスのパスワードでそのパスキーを使用できます。
アカウントにパスキーを追加する方法の詳細については、「パスキーを管理する」を参照してください。
2FA ユーザーの場合、2FA 用のアカウントにパスキー対象のセキュリティ キーが既に登録されていれば、アカウント設定でこれらの既存の認証情報をパスキーにアップグレードできます。 対象のセキュリティ キーを使ってサインインすると、パスキーにアップグレードするかどうかも尋ねられます。 詳しくは、「パスキーを管理する」をご覧ください。
認証子について
一部の認証子では、近くのデバイスでパスキーを使用できます。 たとえば、パスキーが設定されていない Bluetooth が有効なノート PC を使って GitHub にサインインするとします。 携帯電話をパスキーとして登録している場合、セキュリティで保護された方法でサインインを完了するには、QR コードをスキャンするか、携帯電話へのプッシュ通知をトリガーします。 詳しくは、「パスキーを使ってサインインする」をご覧ください。
他の認証子は、デバイス バインド パスキーを作成します。つまり、これらは単一の認証子でのみ使用できます。 これらのパスキーをバックアップしたり、別の認証子に移動したりすることはできません。 パスキー プロバイダーによっては、パスキーの作成時にデバイス バインド パスキーをオプションとして提供する場合もあれば、デバイス バインドパスキーと同期されたパスキーの間で選択できないプロバイダーもあります。
認証子は、ポータブル デバイスにすることもできます。 FIDO2 ハードウェア セキュリティ キーに格納されているパスキーも 「デバイス バインド」ですが、移植可能であるという利点があり、さまざまな方法 (USB、NFC、Bluetooth) で他のデバイスに接続できます。 プラットフォームと Web ブラウザーの組み合わせによっては、パスキーを使用する唯一の方法として FIDO2 セキュリティ キーが使用される場合があります。
デバイスとオペレーティング システムがパスキーをサポートしているかどうかについては、Passkey.dev ドキュメントの「デバイスのサポート」と、CanIUse ドキュメントの「Web 認証 API」をご覧ください。
フィードバック
パスキーについてフィードバックがある場合は、GitHub で共有できます。 会話に参加するには、「[Feedback] Passkeys for passwordless authentication」([フィードバック] パスワードレス認証のパスキー) を参照してください。