spinny:~/writing $ cat passkeys-webauthn-passwordless-authentication.md

Passkey および WebAuthn: パスワードなし、魔法なしでログインします。

2026-05-01 · 1 min read · Filippo Spinella · Security, WebAuthn, Authentication, Web Development

パスワードは、私たちが何年もパスワードと付き合ってきたという理由だけで標準化したものの 1 つです。ユーザーはそれらを忘れたり、再利用したり、書いてはいけない場所に書いたりします。チームは、リセット、ポリシー、ハッシュ、リーク、フィッシング、サポートを管理する必要があります。

passkey によって認証が完璧になるわけではありませんが、サーバーはユーザーと共有する秘密を保持する必要がなくなるという大きな問題が解決されます。

実際に何が起こるか

passkey は、WebAuthn に基づく資格情報です。ユーザーがキーペアを作成すると、デバイスはキーペアを生成します。

秘密キー。デバイスまたはパスワードマネージャーに残ります。
サーバーが保存できる公開キー。

サーバーにログインするときに、「パスワードを教えてください」と尋ねられることはありません。ランダムなチャレンジを送信します。デバイスは秘密キーを使用して署名します。サーバーは公開キーを使用して署名を検証します。

これは良い点です。データベースが盗まれても、内部に解読できるパスワードはありません。また、ユーザーが偽のドメインを使用することになった場合、そのドメインでは passkey は無効になります。これは単なる利便性ではなく、フィッシングに対する具体的な保護でもあります。

ブラウザはブリッジとして機能します

ブラウザでは、主な 2 つの API は次のとおりです。

navigator.credentials.create() で passkey を作成します。
navigator.credentials.get() ログイン時に使用します。

ただし、重要なロジックはサーバー上にあります。サーバーはチャレンジを生成し、一時的に保存し、応答を検証し、ソースと Relying Party ID を確認してから、セッションを作成する必要があります。

クライアント部分はほとんど退屈なものになるはずです。

const options = await fetch('/api/passkeys/login/options').then((r) => r.json());

const credential = await navigator.credentials.get({
  publicKey: PublicKeyCredential.parseRequestOptionsFromJSON(options),
});

await fetch('/api/passkeys/login/verify', {
  method: 'POST',
  headers: { 'Content-Type': 'application/json' },
  body: JSON.stringify(credential?.toJSON()),
});

WebAuthn 暗号化を手動で実装していることに気付いた場合は、やめてください。堅牢なサーバー側ライブラリを使用します。ここでのエラーは「かわいいバグ」ではなく、認証ホールです。

データベースに何を保存するか

世界の半分を救う必要はない。通常は十分です:

資格情報の ID。
公開鍵。
接続されているユーザー。
検証カウンターまたはメタデータ。
トランスポート (UX に役立つ場合)。
ユーザーが選択した名前。
作成日と最終使用。

最小限のテーブルは次のようになります。

create table passkey_credentials (
  id uuid primary key default gen_random_uuid(),
  user_id uuid not null references users(id),
  credential_id text not null unique,
  public_key text not null,
  name text,
  created_at timestamptz not null default now(),
  last_used_at timestamptz
);

次に、監査ログと通知を追加します。誰かが私のアカウントに新しい passkey を作成した場合、それについて知りたいと思います。

デモよりも UX が重要

passkey のデモは常に美しく、Face ID をクリックすれば完了です。実際の製品はさらに複雑です。

誰かが携帯電話を変更します。誰かがロックされた会社のコンピューターを使用しています。なぜブラウザが passkey を提案するのか理解できない人もいます。誰かが自分のデバイスにアクセスできなくなりました。

これが、私が「今日から全員のパスワードを廃止する」ということから始めない理由です。私なら次のように始めます。

passkey 内部ユーザーの場合はオプションです。
ログインに成功した後に作成するよう提案します。
アカウントページの名前を変更して削除します passkey;
フォールバックをクリアする。
メインログインでの段階的なロールアウト。

インターフェース内のテキストはシンプルである必要があります。「デバイスのロック画面を使用する」は、「常駐の FIDO2 資格情報で認証する」よりも優れています。

避けたい間違い

クライアントでチャレンジを生成しないでください。チャレンジはサーバー上で作成され、検証する必要があるのは 1 回だけです。

認証情報 ID だけを信頼しないでください。署名、チャレンジ、出所、および Relying Party ID を検証する必要があります。

適切なリカバリフローを確立する前に、フォールバックを削除しないでください。パスワードレス化しても、「携帯電話を紛失したら永久に使えなくなる」という状況になる必要はありません。

passkey を純粋にフロントエンドボタンとして扱わないでください。ボタンを非表示にすることはセキュリティではありません。実際の検証はサーバー側で行われます。

Passkey 優先ですか、それとも passkey 優先ですか?

新しい製品については、passkey-を最初に考えることができます。既存のアプリの場合、私は passkey フレンドリーを好みます。推奨される方法として passkey を追加し、成功と問題を測定してから、冷静にパスワードの重みを減らします。

理想的な移行は感じられません。ユーザーは、会社が認証プロトコルを変更したことではなく、ログインが簡単になったことに気づきました。

結論

passkey は、セキュリティと UX を同時に向上させるという珍しい点で興味深いです。これらは魔法の杖ではありません。回復、互換性、サポート、展開は適切に設計される必要があります。

しかし、基本的な変化は強力です。ユーザーに秘密を発明して保護するよう求めるのはやめましょう。デバイスに、ドメインに関連付けられた暗号化証明に署名させます。人間の記憶力が減り、フィッシングも減り、パスワードのリセットも減ります。真剣に受け止める価値があると思います。

ソース