生体認証なしでもパスキーは使えますか？

パスキーは生体認証なしでも機能しますか？#

はい、パスキーはPIN、パターン、デバイスのパスワードなどのローカル認証システムを使用することで、生体認証なしでも機能します。これらの方法は、指紋認証や顔認証などの生体認証オプションが利用できない場合に、安全な認証を提供します。パスキーはデバイスのローカル認証システムに依存しており、これはユーザーによって設定され、証明書利用者によって制御されるものではありません。

---

生体認証なしでパスキーが機能する仕組み#

パスキーは、パスワードレス認証の標準であるWebAuthnに基づいて構築されています。通常、パスキーはユーザー検証のためにローカル認証システムを使用します。指紋認証や顔認証などの生体認証が利用できない場合、ローカル認証システムが代替の認証方法を提供します。

ローカル認証システムとは？#

ローカル認証システムとは、デバイス上であなたの本人確認を行う仕組みです。例としては、以下のようなものがあります（すべて非生体認証）：

• PINコード - デバイスのロックを解除するために入力する数字コード。
• パターン - タッチスクリーンに描くスワイプパターン。
• デバイスのパスワード - デバイスへのアクセスに使用される英数字のパスワード。
• 画面ロック - デバイスへのアクセスを制限するその他の仕組み。

パスキーではどのように機能しますか？#

1. ユーザー設定： ユーザーは自分のデバイスでローカル認証システムを設定します。
2. パスキーの作成： アカウント設定中に、デバイスが暗号化キーペアを生成します。
   • 秘密鍵はデバイスに安全に保存されます。
   • 公開鍵はサービス（証明書利用者）と共有されます。
3. 認証： ユーザーがログインしようとすると：
   • 証明書利用者がデバイスにチャレンジを送信します。
   • デバイスは秘密鍵を使用してチャレンジに署名します。
   • ローカル認証システム（例：PIN、パターン）が署名前にユーザーの本人確認を行います。

生体認証なしでパスキーを使用する利点#

• アクセシビリティ： 生体認証対応デバイスを持たないユーザーでもパスキーを使用できます。
• セキュリティ： ローカル認証システムはデバイスに紐付けられており、リモートで傍受することはできません。
• ユーザーコントロール： ユーザーは最も使いやすい方法を選択でき、導入率を高めます。

開発者はローカル認証システムに影響を与えることができますか？#

いいえ、開発者や証明書利用者は、使用されるローカル認証システムの種類を直接制御することはできません。これはユーザーのデバイス設定によって決まります。ただし、開発者はプロセスを明確に説明し、ローカル認証システムがまだ設定されていない場合にユーザーが設定するように案内するユーザーフローを設計することができます。

なぜこれが重要なのでしょうか？#

生体認証なしのパスキーは、包括性と柔軟性を提供します。すべてのユーザーが最新の生体認証技術にアクセスできるわけではありませんが、PINやパターンなどの代替手段を通じて、パスワードレス認証のセキュリティと利便性の恩恵を受けることができます。

---

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →