パスワードとセキュリティキーの方式では、インターネットからの不正ログインを防げなくなりました。
攻撃者が、ユーザになりすましてパスワードを入れ、時にはユーザになりかわりセキュリティキーも入れる。時には、ユーザに間違ってセキュリティキーを入れさせる。ことでなりすますことができました。
パスキーは、まず、サービス登録時に秘密鍵と対となる公開鍵が作成されます。
サーバ側に公開鍵、ユーザ側端末に秘密鍵が配置されます。
1.サーバ側から秘密鍵署名したデジタル署名をユーザ側端末に要求します。
2.ユーザ側端末で生体認証やPINでログインすると、秘密鍵で署名したデジタル署名が作成され、サーバに送ります。
3.サーバ側は、デジタル署名が正しいか、公開鍵で確認して認証します。
ユーザ以外での端末では、秘密鍵がないためなりすましが難しいというわけです。
なお、パスキー方式は、ユーザ認証時のなりすましを防げますが、認証した後のなりすましは防げません。
アサヒホールディングスなどのランサム攻撃では、ユーザ認証後のチケットが使われるため、パスキーではランサム攻撃を防げません。