ニュース
「GitHub」でパスキー認証のパブリックベータを開始 ~パスワードレスで安全に
2023年7月14日 15:34
米GitHubは7月12日(現地時間)、「GitHub.com」でパスキー認証のパブリックベータを開始したと発表した。パスワードや2要素認証(2FA)を必要とせずに、安全かつ簡単に「GitHub.com」へログインできるようになる。
「パスキー」(Passkeys)は、公開鍵暗号方式と生体認証を組み合わせたパスワードレス認証「FIDO2」を元に、資格情報をクラウドで同期できるようにしたもの。同社はアカウント保護のため2要素認証(2FA)を推進しているが、パスワードやSMSが必要であることには変わりがない。その点、パスキーは「パスワードレス」。同社によるとデータ侵害の80%以上はパスワードが根本的な原因であるというが、それらを根絶するのに役立つと期待されている。
「GitHub.com」のパスキー認証は現在、プレビュー機能(Feature Preview)として提供されている。画面右上のプロフィールアイコンをクリックし、プレビュー機能の管理画面へ進み、機能を有効化する必要がある。
すでに2要素認証が有効であれば、再ログインするとパスキーの追加が案内される。デバイスでパスキーを作成すると、次回からは[Sign-in with a passkey]ボタンでログインできるようになる。
パスキーはデバイス単位で作成されるため、デバイスの故障・紛失で失われる可能性があるが、「iCloud キーチェーン」や「Google Password Manager」で同期されるためリスクは低い。キーが同期されているかどうかは、「GitHub.com」のアカウントと認証設定画面(github.com/settings/security)を開き、キーに[Synced]というラベルがついているかどうかで判別できる(場合によってはパスキーが同期されていない方が望ましい状況もあるため、すべてのパスキーが同期されるわけではない)。
また、すでにパスキーを作成したスマートフォンやタブレットが手元にあれば、QRコードを介したクロスデバイス認証でサインインすることも可能。セキュリティキーを使った認証にも少し運用が似ているが、パスキーは携帯デバイスの生体認証(PIN、顔、指紋など)で保護されており、拾っただけでは悪用できない点が優れる。