パスキーが安全な理由は、本質的には公開鍵=秘密鍵方式でログイン認証しているから。
従来のパスワード方式は、送信したパスワードが盗聴されるリスクがあり、
偽サイトで入力して盗まれるリスクもあります。
二段階認証方式は、偽サイトで入力→二段階認証の通信を盗聴し、
自分よりも先に偽サイトがログインしてしまうリスクがあります。
パスキーはデバイスに秘密鍵を保存し、サーバから届く乱数とドメイン名を秘密鍵で署名(暗号化)します。
それをサーバに送り、サーバは公開鍵で暗号を解読。
ユーザーに送った乱数とドメイン名が正しいとログインさせます。
乱数は毎回異なるので盗聴されても平気です。
偽サイトならドメイン名が異なるのでログインできなくなります。
生体認証はデバイスのロック解除をしてるだけで、
秘密鍵はサーバに送られないので盗聴されることもなく、デバイス内部で暗号化処理されるだけです。
にほんブログ村
Tweet
この記事のショートリンク