スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?(3/3 ページ)
今後、Webサービスから「パスワード」がなくなるかもしれない。今後は「パスキー」に取って代わるかもしれないというのが今回の話題だ。
パスキーの安全面での利点と、普及までの課題を確認する
ここまでパスキーの使い方や機能などを紹介してきた。ただ、実際に使ってみると「ブラウザで使えてもアプリが非対応」「パスワードレスといっても、パスワードやSMS認証なども結局残るのでは」といった疑問が浮かぶだろう。最後にこの点について見ていこう。
まず、パスキーをアプリでは使えないWebサービスがある理由として、パスキーが注目を集めてからまだ1〜2年しかたっていないことが大きいだろう。時間がたてばパスキーの扱い方がある程度固まり、アプリ側の対応も改善されるのではないだろうか。
パスキーとパスワードやSMS認証など各種認証方式との関係だが、サービス内容によって使い分けや組み合わせが進むだろう。ただ、パスワードは欠点が多い。決済を扱うようなWebサービスでは数年かけてパスキーの利用に置き換えつつ、パスワードの削除を促す動きが強くなるのではないだろうか。
パスワード認証の欠点
- どのPCやスマホからもログインできる
- メモや盗み見、キーロガーからカジュアルに盗める
- Webサービスから漏えいする恐れがある
- パスワードの使い回しで他のサイトでも被害にあう
- フィッシングサイト(偽サイト)にだまされると、IDとパスワードを入力した上で、SMS認証も入力できてしまう
一方、従来のパスワードをパスキーに置き換えれば、認証時のリスクを大幅に下げられる。
パスキーでパスワードを置き換えた場合の利点
- ロック済みかつ、パスキーを持つスマホやPCしかログインできない
- セキュリティ領域の暗号鍵(秘密鍵)はカジュアルに盗めない
- Webサービスから暗号鍵(公開鍵)が漏えいしても不正アクセスできない
- パスキーは作成したWebサービスごとに異なる
- パスキーはフィッシングサイト(偽サイト)とは認証できない
パスキーだから完全に安全かというとそうではないが、不正アクセスを実行するには、本人の所持するスマホを入手する必要があるなど、かなりハードルが上がる。
穴があるとすれば、現在のiPhoneやAndroidだと本人が普段あまり使わない機器にもパスキーが同期された場合、不正アクセスの難易度がやや下がる点だろう。だが、それも重要なものはSMS認証や回線認証を組み合わせることで、ある程度防げる。
パスキー時代、アカウント管理の心構えを見直そう
パスキー自体は確かに比較的安全な認証方式だが、パスキーを利用したから全て安全と考えるよりも、「パスワードの部分をパスキーに置き換えればある程度安全、さらに他の認証方式とも組み合わせればより安全だ」という受け止め方が適切だろう。
そしてパスキーの利用が増え、パスワードの利用が少なくなると、パスワード管理の代わりにパスキーの管理や機種変更、パスキーがない場合の再ログインに必要な当人確認用の要素について、より気にする必要が出てくる。今後は「人間関係をリセットしたいから、スマホも電話番号もメールアドレスも全部変えて新生活しよう」という行動はよりしづらくなるだろう。
実際、iPhone間やAndroid間の機種変更なら同期でパスキーを引き継げるが、iPhoneとAndroid間の移行だと基本的にパスキーを同期できず、再ログインの作業が求められる。この際に、これまでの電話番号やメールアドレスが利用できないと、再ログインの作業が大変になるだろう。
今後、Webサービスのアカウント管理で重要視すべき内容
- 「SMS認証」「メール認証」用の電話番号とメールアドレスの維持
- 機種変更時はパスキーの移行作業が済むまで元のスマホを所持する
- スマホへの搭載が進みつつある「マイナンバーカード」の取り扱い
- スマホの生体認証やPINロックの安全さの維持
- パスキーを同期できるデバイスの定期的な管理
- パスワードを併用して使っている場合は、パスワードも管理する
とはいえ、パスキーもいずれは当たり前のものになり、パスワードを登録しているサービスが古いものに見える時期が来るかもしれない。これから先、各種Webサービスのアカウントやパスワード、認証方法を見直すときが来たら、パスキーの存在を気にして設定してみてはいかがだろうか。
関連記事
- ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceが現状を説明。既に70億を超えるオンラインアカウントがパスキー利用できる。パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。 - Googleアカウントが「パスキー(Passkey)」に対応 生体認証でログイン可能に
米GoogleはGoogleアカウントへのログイン方法として、パスキー(Passkey)を導入。PCやスマートフォンのロックを解除するのと同じ方法(指紋、顔スキャン、スクリーンロックPIN)で、アプリやWebサイトにログインできるようになった。パスキーは「Yahoo! JAPAN ID」など他の企業サービスでの導入が進む。 - ドコモ、専用アプリなしのパスワードレス認証「パスキー」を開始 これまでと何が変わる?
NTTドコモが4月5日、パスワードを使わない認証方法「パスキー」を導入した。これによって、iPhone、Androidのユーザーはいずれも、より簡単に生体認証でドコモサービスにログインできるようになる。パスキーの詳細や狙いを同社に聞いた。 - パスワードを使わない認証技術「FIDO」が進化 デバイスやOSを越えて利用可能に
フィッシング詐欺やパスワードリスト攻撃などに対抗する技術として、パスワードを使わない認証技術FIDOを推進するFIDOアライアンスが、普及に向けた取り組みを加速している。FIDOは、Webサービスのログインする際に、スマートフォンやPCの生体認証を使うための技術で、パスワードを置き換えることを目指している。現在、認証技術はFIDO2へと進化し、これを使ってWebサイトにログインするための「WebAuthn」技術が標準規格化されている。 - 専用アプリなしで「dアカウント」のパスワードレス認証 2023年2月から提供へ
NTTドコモが、新しいパスワードレス認証を2023年2月をめどに導入する。同社も加盟するFIDO Allianceなどが提唱する「Web Authentication(WebAuthn)」と「Passkeys」を利用することで、専用アプリが不要となる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.