スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?(1/3 ページ)
今後、Webサービスから「パスワード」がなくなるかもしれない。今後は「パスキー」に取って代わるかもしれないというのが今回の話題だ。
今後、Webサービスから「パスワード」がなくなるかもしれない。というのは、ここ2年ほどで「パスキー」と呼ばれる、スマホやPCのセキュリティ領域に保存した暗号鍵を用いた、より簡単かつ安全な認証方式が普及しつつあるからだ。
例えばドコモ利用者なら、dアカウントでパスキーを使い始めた人もいるだろう。また、「生体認証」という名称でauやメルカリ、Yahoo!JAPANなどのログイン時にもう利用しているかもしれない。
ここ2年でパスキーに注目が集まったのは理由がある。2022年5月にApple、Google、Microsoftの3社が、FIDOアライアンスとW3Cが策定した「パスキー(Passkeys)」への対応を発表したからだ。もととなる認証方法のFIDO2をより利用しやすくし、大手3社のOSやブラウザがそろって対応を進めたことで、Webサービス各社もパスキー対応を急速に進めているというわけだ。
現在では、Adobe、Amazon、PayPal、任天堂などさまざまな大手Webサービスが続々と対応している。パスキーが普及すれば、従来のパスワード認証と比べてフィッシング詐欺への対応が大幅に強化されることもあり、業界全体でより安全なパスキーを普及させようという流れが起きているわけだ。
Googleは2024年1月30日のSecurity Blogにて、現在Pixelスマートフォンの「Googleパスワードマネージャー」に搭載している“パスキーのアップグレード”機能を、今後は他のプラットフォームにも提供すると明らかにした。パスワードの利用者に、パスキーへの移行を促す機能だ
ただこのパスキー、仕組みの解説は多いのだが、利用者目線の説明が少ない。
そこでこの記事では「はじめてのパスキー」として、実際の使い方や便利さ、今後どう付き合えばいいのかについて紹介していこう。
実際にWebサービスで「パスキー」を使ってみよう
まずは実際に、パスキーを使ってみよう。ここでは「Yahoo! JAPAN」とiPhone、Androidスマートフォンを例に紹介する。他にも任天堂やAmazon、メルカリなどもパスキーを試しやすい。また、dアカウントやau IDも対応している。各サービスのサポートページを確認しながら試してみるといいだろう。
パスワードの代わりとなる、パスキーを作成する
まずは、iPhoneならSafari、AndroidならChromeブラウザでYahoo! JAPAN「https://www.yahoo.co.jp/」にログインしておく。
Yahoo! JAPANのサイトから、右上の「メニュー(三本線のボタン)」→「Yahoo! JAPAN IDの表示名」→「ログインとセキュリティ」→「生体認証(指紋・顔など)」にアクセスし、登録するとパスキーが作成される。作成画面の下に登録済みの端末として追加されたら完了だ。
また、パスキーの認証時にスマホやPCで顔・指紋認証・PINを用いたロック解除を行うので「生体認証」とも呼ばれるが、これはスマホ本体のロックを使って本人の操作かを改めて確かめているだけだ。実際にスマホやPCとWebサービス間でやりとりしているのは、暗号鍵(公開暗号鍵方式)による認証情報だけなので、パスキーの利用時に顔や指紋のデータがWebサービスに送られることはない。
実際にパスキーを使ってログインする
次に、パスキーでのログインを試そう。
まずはログアウトしたいので、Yahoo! JAPANのサイトから、右上の「メニュー(三本線のボタン)」→「Yahoo! JAPAN IDの表示名」→ページ下部の「ログインしないでサービスを使う」からログアウトする。
次に、トップページのYahoo! JAPANロゴの右側の「ログイン」をタップし、Yahoo! JAPAN IDを入力する。すると、次の画面でスマホの画面ロックの解除を求められ、解除するとパスキーを用いたログインが完了する。この際に、パスワードやSMS認証は求められない。
なお、作成したパスキーはiPhoneやAndroid側でも、パスワード管理機能からまとめて確認できる。
- iPhone:「設定」→「パスワード」
- Android:「設定」→「パスワードとアカウント」→「歯車」→「Googleパスワードマネージャー」
関連記事
- ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceが現状を説明。既に70億を超えるオンラインアカウントがパスキー利用できる。パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。 - Googleアカウントが「パスキー(Passkey)」に対応 生体認証でログイン可能に
米GoogleはGoogleアカウントへのログイン方法として、パスキー(Passkey)を導入。PCやスマートフォンのロックを解除するのと同じ方法(指紋、顔スキャン、スクリーンロックPIN)で、アプリやWebサイトにログインできるようになった。パスキーは「Yahoo! JAPAN ID」など他の企業サービスでの導入が進む。 - ドコモ、専用アプリなしのパスワードレス認証「パスキー」を開始 これまでと何が変わる?
NTTドコモが4月5日、パスワードを使わない認証方法「パスキー」を導入した。これによって、iPhone、Androidのユーザーはいずれも、より簡単に生体認証でドコモサービスにログインできるようになる。パスキーの詳細や狙いを同社に聞いた。 - パスワードを使わない認証技術「FIDO」が進化 デバイスやOSを越えて利用可能に
フィッシング詐欺やパスワードリスト攻撃などに対抗する技術として、パスワードを使わない認証技術FIDOを推進するFIDOアライアンスが、普及に向けた取り組みを加速している。FIDOは、Webサービスのログインする際に、スマートフォンやPCの生体認証を使うための技術で、パスワードを置き換えることを目指している。現在、認証技術はFIDO2へと進化し、これを使ってWebサイトにログインするための「WebAuthn」技術が標準規格化されている。 - 専用アプリなしで「dアカウント」のパスワードレス認証 2023年2月から提供へ
NTTドコモが、新しいパスワードレス認証を2023年2月をめどに導入する。同社も加盟するFIDO Allianceなどが提唱する「Web Authentication(WebAuthn)」と「Passkeys」を利用することで、専用アプリが不要となる。
Copyright © ITmedia, Inc. All Rights Reserved.