パスキー-ベータでログイン
備考
パスキーでログインする機能は現在ベータ版です。
パスキーは、マスターパスワードとメールアドレスを使用する代わりにBitwardenにログインするために使用できます。Bitwardenにログインするために使用されるパスキーは、ユーザーの確認が必要で、これは生体認証要素やセキュリティキーのようなものを使用してパスキーへのアクセスを正常に確立する必要があることを意味します。
パスキーでログインすると、Bitwardenの二段階ログインがバイパスされますが、保管庫の復号化のためのパスキーでのログイン設定は、PRF対応ブラウザとパスキーの組み合わせのみが使用できます。PRFを使用しないパスキーは、保管庫を復号化するためにログイン後にマスターパスワードを入力する必要があります。
現在、パスキーはBitwardenウェブアプリにログインするために使用でき、他のクライアントアプリケーションへのサポートは将来のリリースで計画されています。
備考
パスキーでのログインは、シングルサインオン認証を必要とするポリシー、信頼できるデバイスでのSSO、またはキーコネクターを使用する組織のメンバーには使用できません。
あなたは一度に最大5つのパスキーでログインすることができます。Bitwardenにログインするためのパスキーを作成するには:
ウェブアプリで、ナビゲーションから設定 → アカウントを選択します。
設定メニューから、セキュリティページとマスターパスワードタブを選択してください。
パスキーでログインセクションで、オンにするを選択するか、既にパスキーを設定している場合は、新しいパスキーを選択します。あなたのマスターパスワードを入力するように求められます。
パスキーでのログインをオンにする あなたのブラウザからのプロンプトに従って、FIDO2パスキーを作成してください。生体認証のような要素を使用してユーザー認証を完了するか、PINを作成することができます。
この手順中に、ブラウザが使用するデフォルトの認証をキャンセルする必要があるかもしれません。例えば、Touch IDを優先するmacOSデバイスでハードウェアセキュリティキーを使用したい場合などです。あなたのパスキーに名前を付けてください。
あなたが保管庫の暗号化と復号化にパスキーを使用したくない場合は、保管庫の暗号化に使用するチェックボックスのチェックを外してください:
保管庫の暗号化にパスキーを使用する あなたのパスキーとブラウザがPRF対応の場合にのみ、このオプションが表示されます。もっと学ぶ。
オンにするを選択します。
あなたのパスキーとブラウザは、パスキーを保管庫の暗号化と復号化に使用するために、PRF対応でなければなりません。あなたのパスキーリストは、各パスキーが暗号化に使用されているか、サポートされているが有効化されていないか、またはサポートされていないかを表示します:
もし初めてパスキーを設定したときに保管庫の暗号化に使用のチェックボックスをチェックしなかった場合、または例えばその時に使用していたブラウザがPRF対応でなかった場合、このメニューに移動して暗号化の設定ボタンを選択してください。
Bitwardenから既存のパスキーを削除するには、同じ画面上の削除ボタンを使用できます。Bitwardenからパスキーを削除しても、あなたのFIDO2認証器に保存されているプライベートキーは削除されませんが、それを使用してBitwardenにログインすることはできなくなります。
あなたのパスキーが作成されたら、それを使用してBitwardenウェブアプリにログインできます:
Bitwardenのログイン画面で、通常メールアドレスを入力するところでパスキーでログインを選択してください。
あなたのブラウザからのプロンプトに従ってパスキーを読み取り、これによりBitwardenとの認証が行われます。
あなたのパスキーが保管庫の暗号化のために設定されている場合、それで終わりです!それ以外の場合は、マスターパスワードを入力し、ロック解除を選択して保管庫のデータを復号化します。
次に、パスキーでログインするメカニズムについて説明します。あなたのパスキーが暗号化で設定されているかどうかにより、どのタブが関連しているかが異なります。
パスキーを作成する
パスキーがBitwardenへのログインに登録されたとき:
認証器はWebAuth APIを介してパスキー公開鍵と秘密鍵のペアを生成します。このキーペアは、定義上、あなたのパスキーを構成するものです。
PRF対称キーは、WebAuthn APIのPRF拡張機能を介して認証器によって生成されます。このキーは、あなたのパスキーに固有の内部秘密とBitwardenが提供するソルトから派生します。
BitwardenクライアントによってPRF公開鍵と秘密鍵のペアが生成されます。PRF公開鍵はあなたのアカウント暗号化キーを暗号化し、クライアントはログインしてロック解除されていることによりそれにアクセスでき、結果として得られるPRFで暗号化されたアカウント暗号化キーがサーバーに送信されます。
PRFプライベートキーはPRF対称キー(ステップ2参照)で暗号化され、結果として得られるPRFで暗号化されたプライベートキーがサーバーに送信されます。
あなたのクライアントはデータをBitwardenサーバーにSendし、あなたのアカウントのための新しいパスキー資格レコードを作成します。あなたのパスキーが保管庫の暗号化と復号化のサポートに登録されている場合、この記録には以下が含まれます:
パスキー名
パスキー公開鍵
PRF公開鍵
PRF-暗号化されたアカウント暗号化キー
PRF-暗号化されたプライベートキー
あなたのパスキー秘密鍵は、認証を達成するために必要であり、暗号化された形式でのみクライアントを離れます。
あなたのパスキーでログインしてください
パスキーがログインに使用され、特に、保管庫のデータを復号化するために使用される場合:
WebAuthn APIの公開鍵暗号を使用して、あなたの認証リクエストが主張され、確認されます。
あなたのPRF-暗号化されたアカウントの暗号化キーとPRF-暗号化されたプライベートキーがサーバーからあなたのクライアントに送信されます。
Bitwardenから提供される同じソルトと、あなたのパスキーに固有の内部秘密を使用して、PRF対称キーがローカルで再作成されます。
PRF対称キーは、あなたのPRFで暗号化され�たプライベートキーを復号化するために使用され、あなたのPRFプライベートキーが得られます。
PRFプライベートキーは、PRFで暗号化されたアカウント暗号化キーを復号化するために使用され、結果としてアカウント暗号化キーが得られます。あなたのアカウントの暗号化キーは、あなたの保管庫のデータを復号化するために使用されます。
パスキーを作成する
パスキーがBitwardenへのログインに登録されたとき:
パスキー公開鍵と秘密鍵のペアが作成されます。このキーペアは、定義上、あなたのパスキーを構成するものです。
あなたのクライアントはデータをBitwardenサーバーにSendし、あなたのアカウントの新しいパスキー資格レコードを作成します。あなたのパスキーが保管庫の暗号化および復号化のサポートに登録されていない場合、このレコードには以下が含まれます:
パスキーの名前
パスキーの公開鍵
あなたのパスキーのプライベートキーは、認証を達成するために必要であり、暗号化された形式でのみクライアントを離�れます。
あなたのパスキーでログインしてください
パスキーがログインに使用されると、あなたの認証リクエストはWebAuthn API公開鍵暗号を使用して主張され、確認されます。その後、マスターパスワードを使用して保管庫を復号化する必要があります。
アカウント暗号化キーのロテートは、保管庫暗号化に使用するために設定されたパスキーの暗号化および復号化機能を無効にします。そのパスキーがBitwardenにログインする際の認証に使用される能力は、アカウントの暗号化キーをロテートするときに影響を受けません。