「パスキー」って一体何だ？ パスワード不要の世界がやってくる（4/4 ページ）

[小山安博，ITmedia]

パスキーの課題

　利便性と安全の高さが特徴のパスキーだが、難点もある。登場したばかりの技術であるため、サイトやプラットフォームでの対応が完全ではない点が一つ。パスキーに対応しているサイトも少ないし、対応していても完全ではない場合もある。

　パスキー対応にはOSの対応が必要だが、Windowsの対応が遅れているほか、iOSやAndroidでも、OSアップデートをしていない、またはアップデート自体ができない環境では、パスキーを利用できない。市場においてパスキー対応・非対応の端末が混在している現状では、パスワードを維持しつつパスキーも対応するしかないため、手間もかかるだろう。

Googleアカウントのパスワードマネージャーに保管されているパスキー

こちらはWindows版Chromeのパスワードマネージャーのパスキー。Chromeだが、保管されているのはPC内で、特に外部と同期はされていない

　パスワードを無効化してパスキーに一本化した場合、パスキーを同期していない未登録端末ではログインできなくなる。それを避けるためには、パスワードの代わりにあらかじめ登録した電話番号にSMSで認証番号を送るという方法もあるが、パスキーにも対応策が用意されている。

　パスキー未登録の端末でパスキーによるログインをしようとすると、サイト側がQRコードを表示するので、それをパスキー登録済みの端末のカメラで撮影、生体認証を行うと、パスキー未登録端末でもログインできる、というものだ（ただし、これが使えるかどうかはブラウザ次第）。

【訂正：1月25日18時30分　初出でQRコード表示によるログインについて、使えるかどうかはサイト次第と記載しておりましたが、正しくはブラウザ次第となります。お詫びし訂正いたします。】

未登録端末でパスキーを使ったログインした場合、選択肢として外部端末のカメラを使う機能が表示される

QRコードが表示されるので、それをパスキー登録端末で読み取る。「パスキーを使用する」という選択肢が表示されている

Passkeys.ioにiPhone 13でアクセスしたところ。Androidでは表示されなかった「Sign in with a passkey」が表示されており、これを選択すると端末内のパスキーが呼び出され、IDを入力せずに選択するだけでいい

　この仕組みでは、Bluetoothを使って端末同士を接続するので、近くに両方の端末がないと動作せず、安全性が確保される、という仕様になっている。

　アカウントをまたがったパスキーの同期はできないので、例えばApple IDで登録したパスキーはGoogleアカウントには同期されないというのも難点ではある。そのため、Windows PCとAndroidスマートフォンを使っている場合、スマートフォンでパスキーを登録しても、Windows PCでは改めてパスキーの登録が必要になる。上記のQRコードを使ったログインやSMSによるログインはできるので、ログイン自体はできるが手間がかかる。

　対策として「1Password」や「Bitwarden」といったパスワード管理ツールがパスキーへの対応を表明しており、こうしたツールなら複数のプラットフォームでパスキーの同期ができるようになるだろう。

　結局、パスワードと併用すると攻撃のリスクは残るので、安全性のためにはパスワードレスにしてパスキーに統一した方が有効だ。しかしパスキーのみになるにはしばらく時間がかかるだろう。パスキーが使えない端末（ユーザー）は一定層いるので、パスキーのみのユーザー、パスワードと2段階認証のユーザーといった使い分けにならざるを得ない。

　それでも、パスキーのみのユーザーにとって安全性と利便性は高まるだろう。Google、Microsoftがサポートを拡大してサイトの採用が増えれば、パスワードリスト攻撃やフィッシングに強く、パスワードとは異なるパスキーが存在感を増していくだろう。そうすれば、パスワードがなくなる世界が実現するかもしれない。