同期型・デバイス固定型パスキーの比較
パスキーは秘密鍵の可搬性と保管方法の違いによって同期型とデバイス固定型の2種類に分類される。
比較表
| 比較項目 | 同期型パスキー | デバイス固定型パスキー |
|---|---|---|
| 鍵の保管場所 | クラウド(E2EE暗号化) | デバイス内のセキュアチップ(TPM等) |
| デバイス間の共有 | 同一OSエコシステム内で自動同期 | 不可(その端末のみで使用) |
| 主な例 | iCloudキーチェーン、Googleパスワードマネージャー | FIDO2セキュリティキー(YubiKey等) |
| 紛失時の対応 | クラウドから復元可能 | 予備キーの事前登録が必要 |
| 保証レベル | 中程度(NIST AAL2) | 最高度(NIST AAL3) |
| 主な用途 | 一般的なWebサービス・SNS | 金融機関・政府機関・管理者権限 |
同期型パスキー
一般消費者が日常的に利用する最も一般的な形態。
- 仕組み:秘密鍵はApple iCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウント等を通じて同一エコシステム内の複数デバイス間で同期される
- セキュリティ:同期データはエンドツーエンドで暗号化(E2EE)されており、プラットフォーム提供者(Apple・Google等)も内容を読み取れない
- リカバリ:デバイスを紛失・買い替えても、クラウドから新しいデバイスに自動復元できる
- 重点:使いやすさとリカバリの容易さ
デバイス固定型パスキー
高いセキュリティが求められる環境で使用される、特定のデバイスから持ち出せない形態。
- 仕組み:秘密鍵は特定のハードウェアチップ(TPMやセキュアエレメント等)内に厳重保管され、エクスポート・コピー・バックアップ・同期は一切不可
- 高いセキュリティ(AAL3):鍵がネットワーク上に存在しないため、最高度のセキュリティが必要な用途に推奨される
- アテステーション機能:デバイスが正当なハードウェアであることを証明する機能を持つ。管理者は信頼できる特定の物理デバイスのみにアクセスを制限できる
- 注意点:デバイスを紛失・破損すると、予備の認証手段を事前登録していない限りアクセス不能になる
- 重点:最高レベルの信頼性
関連
引用元: NotebookLM