パスワードを強力で、かつ覚えやすいものにすることは困
マジックリンクとパスキーはどちらもパスワードを使わないログイン方法ですが、同じではないです。この二つの違いは、使い方や安全性、データがどこに保存されるか、ログイン後に使えなくなるかどうかなど詳細に違う点があります。
ここでは、マジックリンクとパスキーの違いと類似点について、さらに詳しく説明します。
Keeperの無料トライアルで、パスキー管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
マジックリンクとは?
マジックリンクとは、パスワードレスログインの一種で、ユーザーがログイン画面にユーザー名やメールアドレスを入力した後、メールやSMSでリンクが送信されるものです。 ユーザーに送信されるリンクは、マジックリンクと呼ばれています。 ユーザーがこのマジックリンクをクリックすると、パスワードを入力することなく、アカウントに自動的にログインされます。 マジックリンクは、多要素認証 (MFA) の方法としてもよく使用されます。
ユーザーがマジックリンクを使ってアカウントにログインできるようにするためには、ウェブサイトやアプリがマジックリンクの使用に対応している必要があります。
パスキーとは?
パスキーとは、新しいパスワードレスログインの種類で、ユーザーが自分のデバイスをロック解除するのと同じ方法(指紋、顔認識、PINの入力など)で本人認証を行うことができるものです。 パスキーは、公開鍵と秘密鍵で構成されており、どちらもユーザーがアカウントにアクセスできるようになる前にユーザーを認証する上で必要です。 公開鍵はサービスを提供する会社のサーバーに保存され、秘密鍵はユーザーのデバイスにローカルに保存されます。 ユーザーがパスキーを使用して自分のアカウントにログインすると、生体認証の使用またはデバイスのPINの入力を求められます。パスワードを手動で入力する必要は全くありません。
パスキーの使用を開始するには、使用するウェブサイトやアプリがパスキーに対応している必要があります。
マジックリンクとパスキーの主な違い
マジックリンクとパスキーの主な違いをいくつかご紹介します。
仕組み
マジックリンクとパスキーの仕組みは、全く異なります。 マジックリンクを使用してアカウントにログインする際、ユーザーにメールやSMSでリンクが送信されます。 送信されたリンクをユーザーがクリックすると、ユーザーはアカウントにログインされます。 マジックリンクでログインするにあたり、ユーザーは多くの場合、タブ、アプリ、デバイスを少しの間切り替えることが求められます。 パスキーの場合、メールやSMSでユーザーに何かが送信されることはありません。 その代わり、ユーザーは生体認証やデバイスのPINを使用してアカウントにすぐにログインします。
セキュリティ
セキュリティ面では、パスキーはデフォルトで強力です。 パスキーは公開鍵暗号を使用してユーザーを認証するWebAuthn標準に基づいて構築されているため、マジックリンクほど簡単に侵害されることはありません。 パスキーが有効になっているアカウントにアクセスするには、ユーザーのデバイスに常に「認証アプリ(Authenticator)」がインストールされている必要があります。 認証アプリはユーザーがパスキーを作成するために使用するもので、携帯電話、タブレット、コンピューター、パスワードマネージャーなどがそれに相当します。
一方、マジックリンクは安全ではない可能性があります。 ユーザーのメールアカウントが強力なパスワードとMFAで保護されていない場合、サイバー犯罪者がそのアカウントを簡単に侵害し、マジックリンクにアクセスしてユーザーの他のアカウントにログインできてしまう恐れがあるのです。 SMSで送信されるマジックリンクも、SIMスワッピング攻撃による侵害を受けやくなります。 SIMスワッピングは、サイバー犯罪者がユーザーの携帯電話会社に新しいSIMカードをアクティベートさせるよう仕向けることで発生します。 サイバー犯罪者がユーザーの携帯電話会社に新しいSIMカードをアクティベートさせるよう仕向けることができれば、被害者のSMSや電話の着信はすべて犯罪者に受信されてしまいます。つまり、犯罪者がユーザーの電話番号に送信されるマジックリンクやパスワードリセットを使用して、被害者のアカウントにログインできるようになるのです。
保存
ウェブサイトやアプリでパスキーが作成されると、パスキーの公開鍵部分は常にサービス提供会社のサーバーに保存されます。 サーバーが公開鍵を保存していても、ユーザーのデバイスにローカルに保存されている秘密鍵がなければ、公開鍵は役に立たないことを理解することが重要です。 マジックリンクの場合、マジックリンクのトークンは、サービス提供会社のサーバーに短時間だけ保存されます。 時間が経過すると、新しいログイン試行用に新しいトークンが生成される必要があります。
有効期限
アカウントのパスキーが作成されると、そのパスキーは自分で削除しない限り有効期限が切れることはありません。 ユーザーのアカウントにログインするには、常に同じ秘密鍵と公開鍵が使用されます。 これは、一時的かつ一定時間後に有効期限が切れるマジックリンクとは異なります。 ユーザーにマジックリンクが送信されると、そのマジックリンクはユーザーがリンクを開くと期限切れになります。 マジックリンクの中には、ユーザーが時間を置いてからリンクを開くと、一定時間後に期限切れになるものもあります。その場合、ユーザーは新しいリンクをリクエストしなければなりません。
マジックリンクとパスキーの類似点
マジックリンクとパスキーには異いがありますが、似ている面もいくつかあります。
どちらもパスワードレス認証の一種
パスワードレス認証は、アカウントにログインする際にパスワードを使用せずにユーザーを認証する方法です。 マジックリンクとパスキーは、どちらもパスワードレス認証の一種で、ユーザーはパスワードを手動で入力することなく、オンラインアカウントやアプリにログインできるというものです。
どちらもMFA方法として使用可能
マジックリンクとパスキーはどちらもログイン方法として使用できますが、多要素認証の方法としても使用可能です。 ただ、これはウェブサイトやアプリがマジックリンクやパスキーの使用に対応しているかどうかに大きく依存します。 たとえば、ウェブサイトの中には、MFA方法としてのパスキーの使用のみに対応しているものもありますし、ログイン方法とMFA方法の両方でパスキーの使用に対応しているものもあります。
どちらもユーザーのログイン体験を向上させる
マジックリンクとパスキーは、どちらもユーザーがパスワードを作成して覚える必要性をなくすため、ユーザーのログイン体験がはるかに楽になります。 また、ユーザーがパスワードを忘れたためにリセットする必要もなくなります。つまり、ユーザーが覚えやすいという理由で脆弱なパスワードを作成してしまうリスクもなくなります。
マジックリンクとパスキーによるパスワードレス認証
マジックリンクとパスキーは、どちらもパスワードを入力することなくアカウントにログインする方法として使用できます。 ただ、マジックリンクは時には安全ではないことを理解することが重要です。そのため、ログイン方法としてパスキーを有効にできるオプションがある場合、それを実行するとログイン体験がシームレスになるだけでなく、アカウントの安全性を高めることもできます。 現在ログイン方法としてパスキーの使用に対応しているウェブサイトやアプリを確認するには、当社のパスキーディレクトリをご覧ください。
すべてのウェブサイトやアプリが現時点でパスキーの使用に対応しているわけではないため、オンラインアカウントに依然として強力なパスワードを作成する必要があります。 Keeper®のようなパスワードマネージャーは、ユーザーが強力なパスワードを作成し、パスワードとパスキーの両方を管理するのに役立ちます。