WebAuthnにおけるCDA(クロスデバイス認証)とは?
パスキーを使用してデバイス間で認証を行う方法であるCDA(クロスデバイス認証)について解説します。
このページは自動翻訳されています。英語の原文は こちら.
CDA(クロスデバイス認証)とは?#
CDA(クロスデバイス認証)は、ユーザーが特定のデバイスのパスキーを別のデバイスでの認証に使用できるようにし、多様なプラットフォーム間でシームレスなアクセスを促進します。この革新的なアプローチは、FIDOのClient-to-Authenticator Protocol (CTAP) に支えられており、「ハイブリッド」トランスポートメカニズムを採用しています。CTAPはCDAプロセスの不可欠な要素であり、リライイングパーティではなくオーセンティケーターやクライアントプラットフォームに実装されることで、安全で効率的な認証エクスペリエンスを保証します。
クロスデバイス認証に関する詳細なレポートは、こちらのブログ記事でもお読みいただけます。
主なポイント#
- CDAは、異なるデバイスやプラットフォーム間でパスキーを使用できるようにすることで、ユーザーの利便性を向上させます。
- CDAは、クラウドアカウントを介してデバイス間でパスキーを同期することとは異なります。
- 安全な認証のために、「ハイブリッド」トランスポートメカニズムを備えたFIDOのCTAPを活用します。
- CDAは、デバイスをペアリングするためのQRコードスキャンと、近接チェックのためのBluetoothを利用します。
CDA(クロスデバイス認証)は、複数のデバイスにまたがってサービスにアクセスする際に、ユーザーに摩擦のないエクスペリエンスを提供するために重要です。それは、CDAクライアントとCDAオーセンティケーターという2つの主要なコンポーネントを中心に構成されています。
- CDAクライアントは、サービスにアクセスするデバイス(例:ノートパソコン、デスクトップ、スマートフォン)です。
- CDAオーセンティケーターは、パスキーを提供し、FIDOアサーションを生成するデバイス(通常はスマートフォンまたはタブレット)です。この二面性により、認証フローが安全でユーザーフレンドリーな状態に保たれます。
CDAの仕組みの深掘り#
クロスデバイス認証(CDA)は、QRコードとBluetoothを統合して、汎用性が高く安全な認証メカニズムを提供します。QRコードは、クイックスキャンによって認証リクエストを確立できるようにすることで、ユーザー主導の簡単な認証プロセスを促進します。Bluetoothは、関与するデバイス間の物理的な近接を確保することで、セキュリティ層を追加します。この二重のアプローチは、使いやすさと堅牢なセキュリティ対策を組み合わせたもので、さまざまなユーザー環境やシナリオに対応します。
QRコード認証#
- 開始: 認証を必要とするデバイス上で、セッション識別子でエンコードされた一意のQRコードが生成されます。
- プロセス: ユーザーがパスキーを保存しているデバイスでQRコードをスキャンすると、暗号化されたインターネット接続を介して安全な認証プロセスがトリガーされます。
- セキュリティ機能: QRコードは1回限りの使用を想定して設計されており、不正アクセスから保護するためにすべてのデータを暗号化します。
最新ニュースを受け取るためにPasskeys Substackを購読しましょう。
Bluetooth認証 (caBLE)#
- 役割: 認証するデバイス間の物理的な近接を確認し、セキュリティの層を追加します。
- 近接チェック: 認証プロセスがデバイスが互いに近くにある場合にのみ実行されるようにし、リモート攻撃のリスクを最小限に抑えます。
- プライバシーとセキュリティ: 機密性の高い認証データの交換は行わず、多要素認証における一要素としての近接性の確認に焦点を当てています。
インターネットを介したトンネル接続#
- アクティブ化: QRコードをスキャンするか、Bluetooth接続を確立するとアクティブになります。
- 目的: 暗号化のチャレンジとレスポンスを含む、認証データの安全な送信を促進します。
- セキュリティ: トンネルを通過するすべての通信が確実に暗号化され、複数のデバイス間のセキュリティが強化されます。
同期されたパスキーとクロスデバイス認証の比較#
通常、パスキーはクラウドアカウント(AppleのiCloudキーチェーンなど)を通じてデバイス間で同期され、使用するデバイスに関係なく認証にすぐに利用できるようになっています。この同期は高度な暗号化によって保護され、生体認証データやPINによって守られており、ログイン試行のレート制限など、不正アクセスを防止するメカニズムが導入されています。
同期されたパスキーは便利ですが、新しいデバイスやメイン以外のデバイスでは必ずしもアクセスできるとは限りません。クロスデバイス認証は、クラウドアカウントの同期を必要とせずに、デバイス間でパスキーの安全なブリッジを提供することで、この課題に対処します。この方法では、QRコードを活用して認証を開始し、Bluetoothを使用してデバイスの近接性を検証することで、安全でユーザーフレンドリーなエクスペリエンスを保証します。クロスデバイス認証のユースケースとしては、同期されたパスキーを使用できない友人のデバイスでのアカウントへのログインなどが挙げられます。
オペレーティングシステムでの可用性#
さまざまなオペレーティングシステムにおけるクロスデバイス認証の現在のサポート状況については、こちらの表で確認できます。オーセンティケーターとは、デバイスがパスキーを保持するデバイス(通常はスマートフォン)として機能できることを意味します。クライアントとは、QRコードを作成し、ユーザーがログインしようとしているデバイス(通常はデスクトップ)を意味します。
Passkeys Debuggerでパスキーフローを試せます。
異なるデバイスでの動作#
CDAのコンテキストでは、デバイスの異なる動作を考慮することが重要です。認証エクスペリエンスは、QRコードスキャン用のカメラの有無や近接チェック用のBluetoothなど、デバイスのハードウェア機能によって異なる場合があります。さらに、オペレーティングシステムによってCDAの実装が異なる場合があり、ユーザーが認証プロセスを開始および完了する方法に影響を与えます。CDAを実装する開発者は、これらの多様性を考慮し、すべてのデバイスでスムーズかつ安全なユーザーエクスペリエンスを確保する必要があります。デバイスの動作の違いに関する詳細なレポートは、こちらのブログ記事をご覧ください。
CDA(クロスデバイス認証)のよくある質問(FAQ)#
デバイス間でパスキーを共有することは安全ですか?#
パスキーの共有では、データを保護するための堅牢なセキュリティ対策が採用されています。このアプローチは、パスワードをより安全でユーザーフレンドリーな代替手段に置き換えるために不可欠であり、速度、利便性、およびセキュリティの観点からサインインプロセスを強化するというFIDOの使命と一致しています。
さまざまなOSプラットフォームでのCDAの可用性はどうなっていますか?#
クロスデバイス認証(CDA)は、パスキーのサポートが導入されるにつれて、幅広いオペレーティングシステムとブラウザで急速に利用可能になっています。可用性の概要は、このWebサイトで確認できます。
パスキーはどのようにしてユーザーのデバイス間で利用できるようになりますか?#
パスキーは、ユーザーのプラットフォームアカウント(Apple ID、Googleアカウントなど)に紐づいたエンドツーエンドの暗号化メカニズムを通じてデバイス間で同期されます。これにより、あるデバイスで作成されたパスキーは、同じアカウントでサインインしている他のすべてのデバイスですぐに利用できるようになり、ユーザーのデジタルエコシステム全体での簡単かつ安全なアクセスが促進されます。
CDAと同期されたパスキーの違いは何ですか?#
ハイブリッドトランスポートは、クラウドアカウントを通じてパスキーを同期する必要なしに、デバイス間の安全な認証を可能にし、柔軟性を提供し、ユーザーのみにパスキーの整合性を維持します。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyCDAがQRコードとBluetoothの両方を使用するのはなぜですか?#
CDAは、セキュリティと利便性を高めるためにQRコードとBluetoothを採用しています。QRコードは認証の開始を簡素化し、Bluetoothはデバイスの物理的な近接性を確保してセキュリティ層を追加します。
CDAはインターネット接続なしで機能しますか?#
CDAの初期設定および認証プロセスにはインターネット接続が必要ですが、認証のためのBluetooth近接チェックはインターネット接続に依存しないため、汎用性が高まります。
CDAを使用するためのハードウェア要件は何ですか?#
CDAプロセスを効果的に促進するには、デバイスがWebAuthnをサポートし、QRコードスキャン用のカメラを備え、caBLE用にBluetooth 4.0以上をサポートし、安定したインターネット接続を維持している必要があります。
Corbadoについて
Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する →
この記事を共有
目次
関連記事
