パスキーの概要
パスキーとは何ですか?
パスキーは、安全性の低いパスワードを使用することなく、素早くアカウントを作成し、サインインすることを可能にする認証の一形態です。このシングルステップの安全なログイン方法は、従来の認証方法や2要素認証(2FA)プロセスに取って代わるものです。さらに良いことに、パスキーを使えば、二度と弱いパスワードを作る必要がなくなる。
パスキーは、ユビキーのような物理的なハードウェアキーの代わりになるのですか?
現代のユビキーはパスキーの一種として使うことができる。具体的には、セキュリティー・キーまたは「デバイス・バインド・パスキー」と呼ばれるもので、キー自体は小さなデバイス上に存在し、同期やバックアップはされない。このため、シンクされたパスキーよりも使いにくくなりますが、特定のシナリオでは役に立ちます。
パスキーはパスワードレスと同じですか?
用意しています。パスキーはパスワードを必要としないため、パスワードのない認証方法とみなされる。Passkeyは一般的に、フィッシングされやすい他のパスワードレス認証手段よりも安全であることに注意してください。
パスキーのベストな使い方は?
パスキーの使い方は、思っているよりずっと簡単だ。新しいアカウントにサインアップする際、従来のユーザー名とパスワード(および追加の2段階ログイン登録)を作成する代わりに、1つのパスキーを作成します。パスキーがユーザー認証を必要とする場合、そのパスキーはデバイスの生体認証(指紋スキャナーなど)やPINと組み合わせることができる。そのため、アカウントにログインする際には、生体認証またはPINによる認証のみが必要となる。バイオメトリクスはお客様のデバイスのローカルでのみ使用され、ウェブサイトに送信されることはありません。
パスキーの設定方法は?今後、あるサイトやアプリにアクセスしたとき、そのプロセスはどのように変わるのでしょうか?
従来のユーザー名/パスワードを使用していたウェブサイトやアプリがパスキーに対応した場合、多くの場合、最初のパスキーを作成するにはボタンをクリックするだけで十分です。手続きはデバイスのロックを解除するのと同じくらい簡単だ。バックグラウンドでパスキーを作成すると、暗号鍵のペアが生成される。1つ目は公開鍵で、アカウントを作成するウェブサイトに保存されている。2つ目は秘密鍵で、デバイスまたはBitwarden Vaultに保存されます。このキー・ペアは、あなたの生体指紋または顔スキャンによってデバイス上で保護されます。
パスキーの設定にはどのような情報が必要ですか?
サイトのパスキーを作成する場合、まず既存のユーザー名とパスワードでログインする必要があります。その後、サーバーは特定の暗号化情報を提供するよう、あなたのブラウザにリクエストをプッシュする。その後、生体認証(指紋スキャナまたはフェイスロック解除)またはデバイスのPINコードなどを使用してリクエストを承認する必要があります。認証に成功すると、あなたのデバイスはキー・ペアを生成し、公開キーをサイトに送信します。パスキーの設定に必要な情報は以上です。
パスキーはどこに保存されていますか?
公開鍵はウェブサイトに保存され、秘密鍵はあなたのデバイスまたはあなたのパスキー・プロバイダー(Bitwarden Vaultなど)に保存されます。
Passkey security
From a security perspective, how do passwords and passkeys compare?
Passkeys are more secure than the traditional username/password authentication method for a number of reasons. First and foremost, you won't be able to use easy-to-crack passwords, such as “password.” Also, 2FA is built into the passkey and the only way someone could access your account would be to have both the private key and your biometric login or device pin code.
Do I need 2FA with my passkey?
No, because 2FA is built into the passkey that is provided to the website during the login process. Each website may choose to include an additional step for logging in, though most do not.
Can my passkey be hacked?
Nothing is 100% foolproof. However, hacking a passkey would require considerable effort to not only gain access to the device where the private key is stored but to also break into your device, e.g. recreating your biometric login (fingerprint or face) or device pin code. Because of this, passkeys are far more secure than traditional methods.
What happens if I lose my phone? How do I recover my passkey with nothing like a password to identify myself?
Passkeys are often able to sync across your devices, however not all platforms support this yet. Bitwarden will allow you to store your passkeys in your vault that is backed up and syncs between all your devices. Should you somehow lose your passkeys, most sites should have recovery options, so you can create a new passkey for your account. This will, of course, be on a site-by-site basis.
What happens if my device is stolen? Can a thief gain access to passkeys in that way?
The only way a thief could successfully use your passkeys on your device is if they can also unlock your device, effectively gaining full access to your data. However, each use of a passkey often requires user verification such as biometrics or re-entry of your device pin, so stealing your device while unlocked would not be enough.
Using passkeys with Bitwarden
Google recently announced passkey support. Is this the same thing that Bitwarden is announcing?
Partly. Google announced that it has added support for passkey authentication for Workspaces accounts, meaning users can sign into their Google Workspace with a passkey instead of their usual password. Similarly, Bitwarden users will be able to access their Bitwarden accounts with a passkey instead of their master password.
Bitwarden also announced that users will be able to save, store, and manage registered passkeys associated with the websites and applications they use right within their vaults. So, Google now makes it possible to use passkeys for accounts and Bitwarden is capable of storing passkeys in vaults.
Do I use the same passkey regardless of the browser I’m on or will each site require a different passkey depending on the browser or device?
The passkeys stored in Bitwarden are synced passkeys, meaning that any browser where you are logged into the Bitwarden extension or where you have the Bitwarden mobile app installed, you can access your accounts using the same passkeys without needing to create new ones. If you don’t store your passkeys in Bitwarden it will depend on how well the browser integrates with your device OS (where the passkeys are stored).
What are some examples of sites that support passkeys?
The growing list of sites that support passkeys at the moment include Best Buy, Cloudflare, eBay, Google, Kayak, PayPal, and GitHub. A community-sourced Passkey Index is available on GitHub.
How will I use passkeys with Bitwarden? Do I still need a master password?
Users can use a passkey to access their accounts without a master password for the web app using supported browsers. Passkeys can also be created and stored in Bitwarden vaults for accessing sites supporting passkeys.
Can passkeys be used across platforms? If not, are there any issues with having different passkeys depending on the platform you’re using?
There are two types of passkeys, device-bound passkeys and synced passkeys. Device-bound passkeys are limited to the device where they were created. Synced passkeys can be stored inside a passkey provider like Bitwarden, and used wherever they are logged in.
Will I be locked into using passkeys if I adopt it?
That will depend on the site or the account. Some sites may only choose to offer passkey authentication, while others may offer traditional username/password authentication, username/password/2FA authentication.
Can passkeys be shared with other trusted individuals?
That depends on the platform. Some platforms, including Bitwarden, make it possible to share passkeys with trusted individuals.
Is there support, such as a live chat representative to speak with if I’m having trouble with my passkey?
That will depend on the site. If a site supports passkey authentication and they offer support, they will be able to answer your questions regarding passkey authentication for that particular site.
If I no longer want to use my passkey, can I remove it?
Yes. This will be done in the same way you would remove a password on your device.