スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?(1/3 ページ)

» 2024年03月07日 10時00分 公開
[島徹ITmedia]

 今後、Webサービスから「パスワード」がなくなるかもしれない。というのは、ここ2年ほどで「パスキー」と呼ばれる、スマホやPCのセキュリティ領域に保存した暗号鍵を用いた、より簡単かつ安全な認証方式が普及しつつあるからだ。

パスキー 「パスキー」を採用したWebサイトが急激に増加している。暗号鍵とスマホやPCの生体認証ロックを用いた認証方式で、脆弱(ぜいじゃく)性が問題となっているパスワードの置き換えを目指す

 例えばドコモ利用者なら、dアカウントでパスキーを使い始めた人もいるだろう。また、「生体認証」という名称でauやメルカリ、Yahoo!JAPANなどのログイン時にもう利用しているかもしれない。

 ここ2年でパスキーに注目が集まったのは理由がある。2022年5月にApple、Google、Microsoftの3社が、FIDOアライアンスとW3Cが策定した「パスキー(Passkeys)」への対応を発表したからだ。もととなる認証方法のFIDO2をより利用しやすくし、大手3社のOSやブラウザがそろって対応を進めたことで、Webサービス各社もパスキー対応を急速に進めているというわけだ。

パスキー 2022年5月にApple、Google、Microsoftがパスキーのサポートを表明。22年から23年にかけて各社のOSが対応し利用環境が整った(AppleのWebサイトより)

 現在では、Adobe、Amazon、PayPal、任天堂などさまざまな大手Webサービスが続々と対応している。パスキーが普及すれば、従来のパスワード認証と比べてフィッシング詐欺への対応が大幅に強化されることもあり、業界全体でより安全なパスキーを普及させようという流れが起きているわけだ。

パスキー パスキーを採用するWebサービスはこれら以外にも拡大している(第10回FIDO東京セミナー「FIDOアライアンスの最新動向と将来展望より」)
パスキー Googleは2024年1月30日のSecurity Blogにて、現在Pixelスマートフォンの「Googleパスワードマネージャー」に搭載している“パスキーのアップグレード”機能を、今後は他のプラットフォームにも提供すると明らかにした。パスワードの利用者に、パスキーへの移行を促す機能だ

 ただこのパスキー、仕組みの解説は多いのだが、利用者目線の説明が少ない。

パスキー パスキーについて簡潔にまとまったスライドだ。だが、一般の人が理解できるかというと難しい(第10回FIDO東京セミナー「FIDOアライアンスの最新動向と将来展望より」)

 そこでこの記事では「はじめてのパスキー」として、実際の使い方や便利さ、今後どう付き合えばいいのかについて紹介していこう。

実際にWebサービスで「パスキー」を使ってみよう

 まずは実際に、パスキーを使ってみよう。ここでは「Yahoo! JAPAN」とiPhone、Androidスマートフォンを例に紹介する。他にも任天堂やAmazon、メルカリなどもパスキーを試しやすい。また、dアカウントやau IDも対応している。各サービスのサポートページを確認しながら試してみるといいだろう。

パスワードの代わりとなる、パスキーを作成する

 まずは、iPhoneならSafari、AndroidならChromeブラウザでYahoo! JAPAN「https://www.yahoo.co.jp/」にログインしておく。

 Yahoo! JAPANのサイトから、右上の「メニュー(三本線のボタン)」→「Yahoo! JAPAN IDの表示名」→「ログインとセキュリティ」→「生体認証(指紋・顔など)」にアクセスし、登録するとパスキーが作成される。作成画面の下に登録済みの端末として追加されたら完了だ。

パスキー 大半のWebサービスは、アカウントのIDと、文字列のパスワードを作成する。パスキーのはスマホ本体に暗号鍵を作成するだけなので「この端末を登録」を押すだけで作成される

 また、パスキーの認証時にスマホやPCで顔・指紋認証・PINを用いたロック解除を行うので「生体認証」とも呼ばれるが、これはスマホ本体のロックを使って本人の操作かを改めて確かめているだけだ。実際にスマホやPCとWebサービス間でやりとりしているのは、暗号鍵(公開暗号鍵方式)による認証情報だけなので、パスキーの利用時に顔や指紋のデータがWebサービスに送られることはない。

実際にパスキーを使ってログインする

 次に、パスキーでのログインを試そう。

 まずはログアウトしたいので、Yahoo! JAPANのサイトから、右上の「メニュー(三本線のボタン)」→「Yahoo! JAPAN IDの表示名」→ページ下部の「ログインしないでサービスを使う」からログアウトする。

 次に、トップページのYahoo! JAPANロゴの右側の「ログイン」をタップし、Yahoo! JAPAN IDを入力する。すると、次の画面でスマホの画面ロックの解除を求められ、解除するとパスキーを用いたログインが完了する。この際に、パスワードやSMS認証は求められない。

パスキー スマホのロック解除をすると、先ほど作成したスマホ内のパスキーを用いた認証が瞬時に実行される。成功するとログインが完了する

 なお、作成したパスキーはiPhoneやAndroid側でも、パスワード管理機能からまとめて確認できる。

  • iPhone:「設定」→「パスワード」
  • Android:「設定」→「パスワードとアカウント」→「歯車」→「Googleパスワードマネージャー」
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

最新トピックスPR

過去記事カレンダー

2024年