パスキーとは?
- IAM 用語集
- パスキーとは?
パスキーは、公開鍵暗号方式を利用した最新のパスワード不要の認証方法です。パスワードの代わりに、サービス側に保存される公開鍵と、ユーザーのデバイスまたはパスワードマネージャーに安全に保管される秘密鍵のペアで認証を行います。
パスキーを使用する場合の認証は、指紋認証や顔認証などの生体認証、PINコード、スワイプパターンなど、スマートフォンのロック解除と同様の方法で行われます。多くのユーザーは利便性から生体認証を選択します。
パスキーの仕組み
パスキーは公開鍵暗号を利用し、従来のパスワードを入力せずにウェブサイトやアプリへログインできるようにします。具体的な手順は以下の通りです。
1. パスキーの設定
- ユーザーは通常どおりアカウントにログインします。
- セキュリティ設定でパスキーの有効化を選択します。
- アプリまたはウェブサイトから、デバイスに紐づくパスキーを保存するよう求められます。
- パスワードマネージャーを使用している場合は、パスキーの生成と保存を促されます。
- Face IDや指紋認証などの生体認証によって、設定を確定します。
- パスキーはデバイスまたはパスワードマネージャーに安全に保管されます。
2. パスキーでのログイン
- 次回以降のログイン時には、保存されたパスキーを使って認証するよう求められます。
- パスワードは不要で、パスキーだけでログインできます。
3. デバイス間での認証
- パスキーが保存されていないデバイスでログインする場合は、別のデバイスを使って認証できます。
- ブラウザに表示されたQRコードをモバイル端末で読み取ることで、サインインを完了できます。
- デバイス間認証では、近接性とセキュリティを確保するためにBluetoothがよく利用されます。
- パスワードマネージャーを利用している場合は、複数のデバイス間でパスキーを取得・利用できます。
パスキーとパスワードの違い
企業や各種プラットフォームでパスキーの導入が進む中、従来のパスワードとの違いや、パスキーがデジタルセキュリティとユーザー体験の向上において重要な役割を果たす理由を理解することが重要です。
以下では、パスキーとパスワードの主な違いをご紹介します。
作成プロセス
パスワードはユーザーが強力でユニークな認証情報を手動で作成し、記憶する必要があり、負担が大きい場合があります。一方、パスキーは自動的に生成されるため、ユーザーは作成や記憶を気にする必要がありません。一度設定すれば、デバイスやパスワードマネージャーを使って簡単にログインできます。
フィッシング耐性
パスワードはユーザーが手動で入力するため、偽のウェブサイトにだまされやすく、フィッシングの被害に遭いやすいです。一方、パスキーは入力が不要なため、フィッシング攻撃によるログイン情報の盗難を防ぐことができます。
リスクの軽減
パスワードは、ユーザーが使い回したり弱いパスワードを選んだ場合、簡単に漏洩するリスクがあります。パスワードが漏洩すると、サイバー犯罪者にすぐに悪用されてしまいます。一方、パスキーはより安全です。秘密鍵はサーバーに保存されないため、たとえサーバーが侵害されても公開鍵だけでは意味を成しません。
対応状況について
パスワードは広く普及していますが、パスキーの導入はまだ進行中です。Apple、Google、PayPalといった主要なウェブサイトではすでにパスキーに対応していますが、多くのサイトはまだパスワードに依存しています。パスキー対応サイトの一覧は、Keeperのパスキーディレクトリをご参照ください。
| パスキー | パスワード |
|---|---|
| 自動生成 | ユーザーが作成 |
| フィッシング耐性 | フィッシング攻撃に対して脆弱 |
| 簡単に侵害されない | 強度が低いと簡単に侵害される |
| 現在対応しているウェブサイト数は限定的 | すべてのウェブサイトで対応 |
パスキーを使うメリット
パスキーには多くの利点があり、より安全でスムーズなオンライン認証方法を提供します。
セキュリティの強化
多くの人はパスワード管理に悩まされており、短くて推測されやすいパスワードを選んだり、複数のサイトで同じパスワードを使い回したり、安全でない場所に保管したりしています。パスキーは自動生成され、各アカウントごとにユニークであることから、こうした問題が解決します。
さらに、パスキーは公開鍵暗号方式を使用しています。秘密鍵はユーザーのデバイスやパスワードマネージャーに安全に保管され、一方で公開鍵はサービス側に保存されます。ログイン時には、秘密鍵が本人確認の証明として機能し、秘密鍵自体が共有されることはありません。そのため、たとえサーバーが侵害されても、サイバー犯罪者が入手できるのは公開鍵のみであり、秘密鍵なしでは無意味です。これにより、パスキーは従来の認証情報よりもはるかに安全性が高くなっています。
二要素認証 (2FA) の組み込み
多くのユーザーがパスワードに対して二要素認証を設定していないのに対し、パスキーは本質的に2FAによって保護されています。パスキーを使うには、所有しているもの (認証デバイス) と、生体認証などの本人であることを証明する要素の両方が必要です。2FAが組み込まれていることにより、パスキーは追加の保護が不足しがちな従来のパスワードよりも安全です。
フィッシング耐性
パスキーの大きな利点の一つは、そのフィッシング耐性です。パスキーではユーザーが手動でログイン情報を入力する必要がないため、サイバー犯罪者が偽のウェブサイトで認証情報を入力させることはできません。つまり、パスキーはパスワードとは異なり、フィッシング攻撃によって盗まれることがありません。
欠点と制限
パスキーには多くの利点がありますが、まだいくつかの制約も存在します。
限定的なウェブサイト対応状況
パスキーの普及は加速しているものの、まだすべてのウェブサイトで対応しているわけではありません。多くの小規模サイトや従来型のウェブサイトやアプリでは依然としてパスワードが使われており、ユーザーは両方の認証方式を並行して管理する必要があります。FIDOアライアンスによると、現在トップ100のウェブサイトの約48%がパスキーに対応しており、着実に広がりを見せていますが、まだ完全な対応には至っていません。
デバイス依存の課題
パスキーは通常、特定のデバイスやエコシステムに紐づいています。もしユーザーがそのデバイスへのアクセスを失うと、パスキーが同期・移行されていない限り、アカウントにログインできなくなる可能性があります。この問題を防ぐには、Keeperのようなパスワードマネージャーにパスキーを保存しておく方法があります。
導入は現在も進行中
パスキーの普及は着実に進んでいますが、まだ多くの人がデフォルトのログイン方法としてパスワードを使い続けています。パスワードレスへの移行はまだ途中段階のため、当面はパスワードマネージャーやバックアップの運用が必要と考えておくべきです。
パスキーの未来
パスキーはパスワードに代わる可能性を秘めていますが、パスワードマネージャーの必要性がなくなるわけではありません。むしろ、その重要性が高まる可能性があります。
これは、パスキーが認証用ツールに紐づいているためです。認証用ツールには以下のようなものがあります。
- スマートフォン、タブレット、ノートパソコンなどのデバイス
- パスキーに対応したパスワードマネージャー
ほとんどの人がスマートフォンを常に携帯しているため、一見するとスマートフォンを主要な認証デバイスとして使うのは便利に思えます。しかし実際には、ひとつのデバイスにだけ依存するのは不便になることもあります。特に複数のデバイスを使い分けるユーザーにとっては課題となります。
例えば、スマートフォンが手元にない状態でノートパソコンやタブレットからログインしようとする場合、以下の手順が必要になります。
- 利用中のデバイスでQRコードを生成する
- スマートフォン (認証デバイス) でQRコードをスキャンする
- Face IDや指紋認証などの生体認証で本人確認を行う
このような手間がかかる場面こそ、デバイス間でパスキーの同期に対応したパスワードマネージャーを使うメリットが際立ちます。Keeperは数年前からパスキーに対応しており、物理的なデバイスだけに依存せず、アプリケーションにパスキーを紐づけることでログインがより簡単になります。この方法により、複数のデバイスでのアカウントアクセスが格段に簡単かつスムーズになります。
