利便性と安全の高さが特徴のパスキーだが、難点もある。登場したばかりの技術であるため、サイトやプラットフォームでの対応が完全ではない点が一つ。パスキーに対応しているサイトも少ないし、対応していても完全ではない場合もある。
パスキー対応にはOSの対応が必要だが、Windowsの対応が遅れているほか、iOSやAndroidでも、OSアップデートをしていない、またはアップデート自体ができない環境では、パスキーを利用できない。市場においてパスキー対応・非対応の端末が混在している現状では、パスワードを維持しつつパスキーも対応するしかないため、手間もかかるだろう。
パスワードを無効化してパスキーに一本化した場合、パスキーを同期していない未登録端末ではログインできなくなる。それを避けるためには、パスワードの代わりにあらかじめ登録した電話番号にSMSで認証番号を送るという方法もあるが、パスキーにも対応策が用意されている。
パスキー未登録の端末でパスキーによるログインをしようとすると、サイト側がQRコードを表示するので、それをパスキー登録済みの端末のカメラで撮影、生体認証を行うと、パスキー未登録端末でもログインできる、というものだ(ただし、これが使えるかどうかはブラウザ次第)。
【訂正:1月25日18時30分 初出でQRコード表示によるログインについて、使えるかどうかはサイト次第と記載しておりましたが、正しくはブラウザ次第となります。お詫びし訂正いたします。】
この仕組みでは、Bluetoothを使って端末同士を接続するので、近くに両方の端末がないと動作せず、安全性が確保される、という仕様になっている。
アカウントをまたがったパスキーの同期はできないので、例えばApple IDで登録したパスキーはGoogleアカウントには同期されないというのも難点ではある。そのため、Windows PCとAndroidスマートフォンを使っている場合、スマートフォンでパスキーを登録しても、Windows PCでは改めてパスキーの登録が必要になる。上記のQRコードを使ったログインやSMSによるログインはできるので、ログイン自体はできるが手間がかかる。
対策として「1Password」や「Bitwarden」といったパスワード管理ツールがパスキーへの対応を表明しており、こうしたツールなら複数のプラットフォームでパスキーの同期ができるようになるだろう。
結局、パスワードと併用すると攻撃のリスクは残るので、安全性のためにはパスワードレスにしてパスキーに統一した方が有効だ。しかしパスキーのみになるにはしばらく時間がかかるだろう。パスキーが使えない端末(ユーザー)は一定層いるので、パスキーのみのユーザー、パスワードと2段階認証のユーザーといった使い分けにならざるを得ない。
それでも、パスキーのみのユーザーにとって安全性と利便性は高まるだろう。Google、Microsoftがサポートを拡大してサイトの採用が増えれば、パスワードリスト攻撃やフィッシングに強く、パスワードとは異なるパスキーが存在感を増していくだろう。そうすれば、パスワードがなくなる世界が実現するかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR