これまで インターネット上で「間違いなく自分である」を 証明するには、自分しか 知らない 情報、それを もとにする しか ありませんでした。  その 代表例 が「パスワード」です。
サービス側 に パスワード を あらかじめ 登録しておき、自分の入力 と サービス側に 登録した 情報 が 一致したら、本人である という 証明 に なっていました。
しかし、サイバー攻撃 が 国際化し 高度化している 現在、パスワード そのもの が 奪われたり、登録された パスワード が 大量に 漏洩されたり しています。  そして なりすまし による 不正 ログイン は 増加の 一途 です。
流出アカウント の 調査情報 では、パスワード として 1234 など 非常に 脆弱な 文字列 が 並んでいます。  また ' 複雑な パスワード を、定期的な 変更 を、使い回しは 止めよう ' と 呼びかけられても 実践する 人 は ほとんど いません。
そんな パスワード 運用 は、難かしすぎる からです。
それで 指紋など 生体を 利用した 認証 や、スマホ など に トークンを 送って 入力させる 二要素認証 も 実用されていますが、やはり 手間が かかります。
こうした 問題を 解消するのが 「パスキー」なのです。

パスキー は、FIDO-Alliance が 策定した パスワードレス 認証技術 です。
以下の 3つ の 技術 が 用いられています。

FIDO2： 公開鍵暗号 と 生体認証 を 用いた パスワードレス 認証方式

　
• 　スマホ など が サーバーの アプリに アクセスすると、まず FIDO サーバー に 認証の開始 を 要求します
• 　FIDO サーバー は 認証に必要な 付加情報 を サーバーに 渡します
• 　サーバー は その 情報 を スマホ など に 転送し、そこでは 生体認証 が おこなわれます
• 　認証 後 付加情報 を 自身の 秘密鍵で 暗号化し ( 署名 と呼ばれる )、それ を FIDO サーバー へ 送信します
• 　FIDO サーバー は 受信した 署名 を その 公開鍵 などで 検証し、成功すれば 結果を サーバー に 伝えます
• 　これで サーバー は ログイン 等 を 許可する ことに なります

WebAuthn： FIDO2 を Web上で 実現する 仕様

　
• 　FIDO が 支援し、W3C によって 策定、標準化 されました
FIDO では、ユーザの デバイスで 生体認証 や PIN による 本人確認 を 行い、秘密鍵で 暗号化した 署名 を サーバー側に 送り、  公開鍵で 検証することで サーバー認証 を 行います
そのため、認証用の 情報を ネットワークで 流す 必要が ありません。  また サーバーに 保管されることも ないため パスワード漏洩 の リスク が 低減します
• 　WebAuthn の 実体 は、Web ブラウザ 上 の アプリケーション が 利用する JavaScript API です。  この API を 利用することで、Web アプリケーション は FIDO 認証 を 行うことが できるのです

狭義のパスキー： 認証資格情報 を クラウド経由 で 同期する 仕組み

• 　スマートフォンの ロック解除 には 指紋や顔 が 使われるが、パスキーでは その 認証 を 利用します。
ユーザー登録 を する際、ユーザー ID を 決めて 生体認証 を 登録するだけ なので、パスワード を 作成したりする 必要 が ありません
• 　生体認証 といっても、本人であることを 端末内で 証明するために 生体を 使うだけで、自分の 指紋などの 情報 が 外に 流出することは ありません
• 　パスキー では、ユーザー登録時 や 生体認証 設定時 に、ユーザー ID と URL が ひも付いた形の「マルチデバイス対応 FIDO 認証 資格情報、クレデンシャル」を 端末の 安全な領域 に 保管します
• 　実際の ログイン時 には、ID を 入力するか、選ぶ と FIDO クレデンシャル が 要求されるので、生体認証 で それを 取り出せば ログインできます。  パスワードを 入力することもなく、そもそも パスワードが 存在しないので 漏洩することも ないのです

これまで、ヤフー や NTTドコモ など が パスキー対応 を アナウンスして いましたが、ついに Google が パスキー に 対応しました。  大きな 出来事で、これを きっかけに 「パスワードのない世界」が 実現するのでは ないでしょうか。