ここまでパスキーの使い方や機能などを紹介してきた。ただ、実際に使ってみると「ブラウザで使えてもアプリが非対応」「パスワードレスといっても、パスワードやSMS認証なども結局残るのでは」といった疑問が浮かぶだろう。最後にこの点について見ていこう。
まず、パスキーをアプリでは使えないWebサービスがある理由として、パスキーが注目を集めてからまだ1〜2年しかたっていないことが大きいだろう。時間がたてばパスキーの扱い方がある程度固まり、アプリ側の対応も改善されるのではないだろうか。
パスキーとパスワードやSMS認証など各種認証方式との関係だが、サービス内容によって使い分けや組み合わせが進むだろう。ただ、パスワードは欠点が多い。決済を扱うようなWebサービスでは数年かけてパスキーの利用に置き換えつつ、パスワードの削除を促す動きが強くなるのではないだろうか。
一方、従来のパスワードをパスキーに置き換えれば、認証時のリスクを大幅に下げられる。
パスキーだから完全に安全かというとそうではないが、不正アクセスを実行するには、本人の所持するスマホを入手する必要があるなど、かなりハードルが上がる。
穴があるとすれば、現在のiPhoneやAndroidだと本人が普段あまり使わない機器にもパスキーが同期された場合、不正アクセスの難易度がやや下がる点だろう。だが、それも重要なものはSMS認証や回線認証を組み合わせることで、ある程度防げる。
パスキー自体は確かに比較的安全な認証方式だが、パスキーを利用したから全て安全と考えるよりも、「パスワードの部分をパスキーに置き換えればある程度安全、さらに他の認証方式とも組み合わせればより安全だ」という受け止め方が適切だろう。
そしてパスキーの利用が増え、パスワードの利用が少なくなると、パスワード管理の代わりにパスキーの管理や機種変更、パスキーがない場合の再ログインに必要な当人確認用の要素について、より気にする必要が出てくる。今後は「人間関係をリセットしたいから、スマホも電話番号もメールアドレスも全部変えて新生活しよう」という行動はよりしづらくなるだろう。
実際、iPhone間やAndroid間の機種変更なら同期でパスキーを引き継げるが、iPhoneとAndroid間の移行だと基本的にパスキーを同期できず、再ログインの作業が求められる。この際に、これまでの電話番号やメールアドレスが利用できないと、再ログインの作業が大変になるだろう。
とはいえ、パスキーもいずれは当たり前のものになり、パスワードを登録しているサービスが古いものに見える時期が来るかもしれない。これから先、各種Webサービスのアカウントやパスワード、認証方法を見直すときが来たら、パスキーの存在を気にして設定してみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.