スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に？（3/3 ページ）

[島徹，ITmedia]

パスキーの安全面での利点と、普及までの課題を確認する

　ここまでパスキーの使い方や機能などを紹介してきた。ただ、実際に使ってみると「ブラウザで使えてもアプリが非対応」「パスワードレスといっても、パスワードやSMS認証なども結局残るのでは」といった疑問が浮かぶだろう。最後にこの点について見ていこう。

　まず、パスキーをアプリでは使えないWebサービスがある理由として、パスキーが注目を集めてからまだ1〜2年しかたっていないことが大きいだろう。時間がたてばパスキーの扱い方がある程度固まり、アプリ側の対応も改善されるのではないだろうか。

Amazonはブラウザとアプリの両方で同じようにパスキーを扱える。ログイン時は内容により、パスキーとSMS認証の両方が求められる

　パスキーとパスワードやSMS認証など各種認証方式との関係だが、サービス内容によって使い分けや組み合わせが進むだろう。ただ、パスワードは欠点が多い。決済を扱うようなWebサービスでは数年かけてパスキーの利用に置き換えつつ、パスワードの削除を促す動きが強くなるのではないだろうか。

パスワード認証の欠点

• どのPCやスマホからもログインできる
• メモや盗み見、キーロガーからカジュアルに盗める
• Webサービスから漏えいする恐れがある
• パスワードの使い回しで他のサイトでも被害にあう
• フィッシングサイト（偽サイト）にだまされると、IDとパスワードを入力した上で、SMS認証も入力できてしまう

　一方、従来のパスワードをパスキーに置き換えれば、認証時のリスクを大幅に下げられる。

パスキーでパスワードを置き換えた場合の利点

• ロック済みかつ、パスキーを持つスマホやPCしかログインできない
• セキュリティ領域の暗号鍵（秘密鍵）はカジュアルに盗めない
• Webサービスから暗号鍵（公開鍵）が漏えいしても不正アクセスできない
• パスキーは作成したWebサービスごとに異なる
• パスキーはフィッシングサイト（偽サイト）とは認証できない

　パスキーだから完全に安全かというとそうではないが、不正アクセスを実行するには、本人の所持するスマホを入手する必要があるなど、かなりハードルが上がる。

　穴があるとすれば、現在のiPhoneやAndroidだと本人が普段あまり使わない機器にもパスキーが同期された場合、不正アクセスの難易度がやや下がる点だろう。だが、それも重要なものはSMS認証や回線認証を組み合わせることで、ある程度防げる。

パスキー時代、アカウント管理の心構えを見直そう

　パスキー自体は確かに比較的安全な認証方式だが、パスキーを利用したから全て安全と考えるよりも、「パスワードの部分をパスキーに置き換えればある程度安全、さらに他の認証方式とも組み合わせればより安全だ」という受け止め方が適切だろう。

　そしてパスキーの利用が増え、パスワードの利用が少なくなると、パスワード管理の代わりにパスキーの管理や機種変更、パスキーがない場合の再ログインに必要な当人確認用の要素について、より気にする必要が出てくる。今後は「人間関係をリセットしたいから、スマホも電話番号もメールアドレスも全部変えて新生活しよう」という行動はよりしづらくなるだろう。

　実際、iPhone間やAndroid間の機種変更なら同期でパスキーを引き継げるが、iPhoneとAndroid間の移行だと基本的にパスキーを同期できず、再ログインの作業が求められる。この際に、これまでの電話番号やメールアドレスが利用できないと、再ログインの作業が大変になるだろう。

今後、Webサービスのアカウント管理で重要視すべき内容

• 「SMS認証」「メール認証」用の電話番号とメールアドレスの維持
• 機種変更時はパスキーの移行作業が済むまで元のスマホを所持する
• スマホへの搭載が進みつつある「マイナンバーカード」の取り扱い
• スマホの生体認証やPINロックの安全さの維持
• パスキーを同期できるデバイスの定期的な管理
• パスワードを併用して使っている場合は、パスワードも管理する

　とはいえ、パスキーもいずれは当たり前のものになり、パスワードを登録しているサービスが古いものに見える時期が来るかもしれない。これから先、各種Webサービスのアカウントやパスワード、認証方法を見直すときが来たら、パスキーの存在を気にして設定してみてはいかがだろうか。