パスキーについてのメモ

パスキーは「デバイスに保存するタイプ」と「セキュリティキー内部に保存するタイプ」がある。
どちらのタイプもクレデンシャル（秘密鍵）が保存される。
他の認証手段を残していない場合、デバイスが変わってしまうとそのデバイスのパスキーが使えないから他の手段を用意しておかないと詰む可能性がある。

詰むパターン

• 同期なし（ローカル限定の場合）
  • GoogleパスワードマネージャーがGoogleアカウントに紐づいていて、デバイス保存型のパスキーがアカウント経由で他デバイスに復元されるケースもあるので、この場合だと詰まない
• 他の認証手段なし（アプリによる２段階認証やSMSなどと併用しない）
• バックアップコードのような救済処置をしていない

「セキュリティキー内部に保存するタイプ」は、デバイスが変わったとしても認証が可能で、GithubやGoogleで試した限りだとパスワード入力や２段階認証も飛ばしてログインすることができる。

「デバイスに保存するタイプ」と「セキュリティキー内部に保存するタイプ」はクレデンシャル（秘密鍵）を使ってサービスにログインするので同格のセキュリティレベルとして扱われて、サービス側が２段階相当以上と扱うため２段階認証を飛ばせることも多い。

補足(パスキー2つ以上用意する必要があるか)

サービスがパスキーだけでログインできる状態になってるかどうかで詰むかが決まるので、必ず詰むとも限らない。
yubikeyなどをログインの補助的な役割として使うだけなら1つだけでもOKという認識です。