パスワード 
Wi-Fiのパスワードを安全に共有することは、ネット
パスキーはフィシングに対する耐性があります。その理由は、パブリックキー暗号を使用してアカウントにログインする前にユーザーのIDを認証する認証基準であるWeb認証標準に基づいて構築されているためです。
ここでは、パスキーがフィッシングに耐性を持つ理由、また、パスワードよりもパスキーでアカウントにサインインすることの利点について詳しく説明します。
パスキーとは?
パスキーとは、パスワードを入力することなくアカウントにログインできる暗号キーです。 パスキーの使用には、アカウントを持つウェブサイトによってそれがサポートされている必要があります。 パスキーがサポートされている場合、アカウント設定でそれらを有効にすることができ、パスキーが作成されてデバイス上にローカルに保存されます。
パスキーを作成する際、パスワードマネージャーを使用してパスキーをデジタルボルトに保管することも可能です。 パスワードマネージャーを使用してパスキーを保存し管理すると、どこからでも、どのデバイスを使用しても、パスキーによりアクセス、共有、ログインが可能です。
フィッシングとは?
フィッシングとは、被害者が機密情報を開示するよう説得することを目的としたソーシャルエンジニアリング攻撃の一種です。 多くの場合、サイバー犯罪者はなりすましウェブサイトへのリンクを送信し、被害者にこれらのリンクをクリックするよう促します。 なりすましウェブサイトとは、正当なものに見えるよう設計されていますが、機密情報を盗むことを意図したサイトです。
たとえば、なりすましウェブサイトは、被害者にウェブサイトがなりすましている会社のログイン認証情報を入力するよう促す場合がありますが、これを行うと、被害者は基本的にログイン認証情報をサイバー犯罪者に引き渡すことになります。 サイバー犯罪者は、これらのログイン認証情報を使用して、被害者の実際のアカウントにサインインできます。
パスキーがフィッシングに耐性を持つ理由
パスキーは、ウェブ認証標準に基づいて構築されており、フィッシング攻撃に耐性があります。 ウェブ認証は、Web Authentication(ウェブ認証)の略で、ウェブアプリケーションのユーザー認証を簡素化するブラウザベースのAPIです。 Web認証により、ユーザーは、携帯電話やコンピューターなどの登録されたデバイスを要素として使用し、パブリックキー暗号を使用してアカウントにログインできます。
ユーザーがアカウントのパスキーを生成すると、デバイスに固有の暗号キーペアが作成されます。 このキーペアは、パブリックキーとプライベートキーで構成されています。 パブリックキーはユーザーがアカウントを持つ会社に保存され、プライベートキーはパスキーの作成に使用したデバイスにローカルに保存されます。 ユーザーがアカウントにログインすると、アカウントサーバーはユーザーのオーセンティケイターに「課題」を送信します。 オーセンティケイターとは、パスキーを作成するのに使用されるデバイス、ブラウザ、またはパスワードマネージャーです。 すると、認証システムはプライベートキーを使用して課題に回答し、応答を送信します。 これは、データの「署名」とも呼ばれ、ユーザーのIDが検証される方法です。 プロセスでプライベートキーが明らかにされることは絶対にありません。
パスワードとは異なり、パスキーはWeb認証標準に基づいて構築されているため、意図的にフィッシングへの耐性を持ちます。 パスワードのように、パスキーをサイバー犯罪者に渡すことは不可能であり、それが、パスキーがオンラインアカウントやアプリケーションへサインインするための最も安全な方法である理由です。
パスキーを使用する際のその他の利点
パスキーは、フィッシングに対する耐性があるだけでなく、便利で、常に強力であり、パスワード関連の攻撃の影響を受けにくく、使いやすいという利点があります。
パスキーをパスワードマネージャーに保存すると、簡単に使用できる
パスキーが作成されたデバイスでそれを使用してサインインするには、FaceIDなどの生体認証を使用してIDを確認するだけです。 パスキーをパスワードマネージャーに保存する場合は、ボタンをクリックしてそれを使用してサインインするだけで、使用するオペレーティングシステム(OS)に関係なく、どのデバイスからでもサインインできます。 アカウントでパスキーを有効にすると、パスワードを手動で入力する必要がなく、非常に便利で使いやすくなります。
パスキーは常に強力
パスキーは、アカウントで生成されるたびに一意的に作成されるパブリックキーとプライベートキーのペアで構成されています。 パスワードとは異なり、パスキーはユーザーが生成するものではありません。これはデバイス、ブラウザ、あるいはパスワードマネージャーによって、各アカウント向けに安全かつ独自に生成されるものであり、つまり常にデフォルトで強力であることを意味します。
パスキーは、パスワード関連のサイバー攻撃の影響を受けにくい
パスワードに関して、多くのユーザーは同じパスワードを複数のアカウントで再利用したり、サイバー犯罪者が数分、時には数秒で推測したり、クラッキングすることが簡単な弱いパスワードを使用するため、パスワード関連の攻撃の影響を受けやすい傾向があります。 パスキーは、さまざまなパスワードベースのサイバー攻撃の影響を受けやすい、ユーザーによるパスワード生成の必要性を排除します。
パスキーでフィッシング攻撃の被害を回避する
フィッシングは、引き続き、企業と個人の両方に対して最も普及しているサイバー攻撃の1つです。 パスキーは現時点では、少数のウェブサイトやアプリケーションでのみサポートされていますが、可能な限りパスキーを利用することで、アカウントの侵害につながる可能性のあるフィッシング攻撃からアカウントを保護することができます。 現在パスキーをサポートするウェブサイトやアプリケーションを確認したい場合は、当社のパスキーディレクトリーをご覧ください。
パスキーは現時点では、少数のウェブサイトでのみサポートされているため、ほとんどのオンラインアカウントやアプリは強力でユニークなパスワードで保護する必要があります。 Keeper®のようなパスワードマネージャーは、強力なパスワードを生成し、それらを安全に保存して、パスワードとパスキーの両方を安全なデジタルボルトで管理することを容易にします。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
