パスワードはもう不要?便利なPasskeyの基本をチェックしよう
2023年5月4日(木)の「世界パスワードの日」に、Googleアカウントでも使えるようになったのが、Passkey(パスキー)です。一足先にAppleデバイスでは、macOS Ventura 13やiOS 16から使えるようになりました。Windowsでも近日中に対応予定です。Passkeyは、この言葉を初めて聞いた人でも今後お世話になることが確実に増える、パスワードに代わる認証方式です。『つまり、もうパスワードが不要になるってこと!?』『だったら、パスワードマネージャーも要らない?』そんな、疑問や誤解を混じえながら、基本をチェックしてみましょう。
そもそも、Passkey(パスキー)とは?
Passkeyとは、Webサイトやモバイルアプリで任意のサービスにアクセスする時に使われる、パスワードを使用しないセキュアな認証システムです。パスワード入力なしでログインでき、パスワードの漏洩やフィッシングも防げる上に、柔軟に使えるのが特徴です。
Passkeyは、後述する業界の標準化団体「FIDO(ファイド)アライアンス」が策定する、パスワードレス認証の仕様です。「FIDO2」「WebAuthn」「パスキー」という3つの技術が組み合わせられています。FIDO認証では、公開鍵暗号方式の鍵ペア(秘密鍵と公開鍵)を生成し、秘密鍵をセキュアに管理し、デバイス側で認証することで安全性を高める仕組みです。ユーザーは、Webサービスやアプリでアカウントを登録する時に、「オーセンティケーター(認証アプリ)」で暗号化鍵のペアを作成して、アカウントと紐付けます。ただ、以前のWebAuthnは、認証資格情報をデバイスと一対一で紐付ける仕様でした。そのため、ユーザーがデバイスを紛失したり、機種変更した時、複数の端末を利用する場合に、ゼロから認証資格情報を登録し直す必要があり、使い勝手で問題がありました。
これをPasskeyでは、暗号化された一部の鍵情報をクラウド上で管理するように変更しました。この鍵の情報は、AppleやMicrosoft、Google、その他のプロバイダーが提供するクラウドサービスなどを使用して、ユーザーの他のデバイスとエンドツーエンド暗号化によって同期されます。サービス側は、秘密鍵の中身を知ることはできません。
Passkeyを使ってクラウド経由で同期すれば、パスワードのような簡単に推測される情報を使わず、再登録や再設定の手間もなく、安全にサービスへログインできます。フィッシングやパスワードリスト攻撃などにも強く、複数のアカウントやサービスに対してそれぞれ異なるPasskeyを使うことで、1つのアカウントが侵害された場合でも、他のアカウントが影響を受けにくくなります。
業界団体FIDOアライアンスによって標準化されているスタンダード
このPasskeyは、非営利の標準化団体、業界団体「FIDOアライアンス」の支援を受けています。生体認証など新しい認証技術の標準化や、パスワードによる本人認証の煩雑さの回避を目指して、2012年7月に発足したFIDOアライアンスには、GoogleやApple、Microsoftなどの大手テック企業や、パスワードやセキュリティー関連のデベロッパーなど、さまざまな企業が加盟していて、業界のスタンダードでもあります。
Passkeys in Action パスキーデモ(日本語字幕版) – YouTube
▼パスキーのセキュリティについて – Apple サポート (日本)
https://support.apple.com/ja-jp/HT213305
▼ドコモのWeb認証・パスキー対応について – NTTドコモ – YouTube
多要素認証(MFA)とPasskeyを併用してセキュアに
セキュアなログイン方法としては、2要素認証(2FA)や2段階認証(2SA)は、多くの皆さんがすでに使っているでしょう。Webサービスやアプリにログインする時、アカウントとパスワードだけでなく、通知が認証アプリに届き、そこに表示されるコードを入力または許可することでログインできる仕組みですね。使われるアプリは、Google AuthenticatorやMicrosoft Authenticatorで、顔や指紋のスキャンなど、本人確認のために2つ以上の要素や段階が使われることもあります。
Passkeyでは、暗号化鍵のペアが使われるため、基本的に2要素認証は必要ないとされています。ただし、新しいパスキーを登録しようとするユーザーが2要素認証を設定していない場合、自動的に設定を促されることがあります。しばらくは、多要素認証とPasskey、そして使いたくありませんがどちらにも非対応のサービスの3つを賢く併用していくことが必要です。
パスワードマネージャーも要らなくなる!…わけじゃない!
併用が必要といえば、アカウントやパスワードを管理するパスワードマネージャーが今すぐ不要になるわけではありません。
まず、Passkeyに未対応のサービスをセキュアに管理するには、引き続きパスワードマネージャーが必要です。コンシューマーでも人気の1PasswordやLastPass、Bitwardenなど主要なパスワードマネージャーは、Passkeyへの対応をアナウンスしているので、そのままセキュアな情報を移行して使い続けられます。
また、パスワードマネージャーが管理するのは、Webサービスのアカウントとパスワードに限らず、ソフトウェアのライセンスキー、セキュアノート、個人のクレジットカードや医療記録など、さまざまな情報が扱われます。Passkeyには直接関係しないこれらの情報も、引き続き安全に管理する必要があることは変わりません。
現時点のPasskeyの注意点
いいことずくめに思えるPasskeyですが、やはりそれなりの注意点がいくつかあります。
また、Passkeyはユーザーのスマートフォンやラップトップなど複数のデバイスと、顔認証・指紋認証など複数の認証方式を横断するので、使い方によってはステップが煩雑になります。ビジネスユーザーの多くが、仕事用とプライベート用で使い分けているでしょうし、タブレットやスマートウォッチを使っていればさらに面倒かもしれません。Googleアカウントで使えるようになったとはいえ、現時点では一部の環境でしかサポートされていません。
プライベートで使う人が増えれば、学習コストが抑えられるメリットはありますが、デバイスや使い方が管理されるビジネス環境では、情報システム部門が対応してからの導入です。そもそも、デバイスが盗まれたり紛失してしまえばリスクになることは、今も変わりありません。
もちろん、比較的新しい技術であるPasskeyに未知の脆弱性が発見され、攻撃対象になる可能性もゼロではありません。そもそも、今でもたびたび起きていますが、サービス側のセキュリティーが脆弱だったり管理が杜撰で情報が漏洩した場合は、ユーザー側でできる事後対策は限定的です。
残念ながら、Passkeyがサポートされたからといって、完全に安全というわけではないのは当たり前です。ただ、従来のパスワードよりも安全性が高いのは事実です。再利用ができずフィッシングにも強いなど、技術的な進歩であることは間違いないので、今後、急速に普及していくでしょう。
先日の「世界パスワードの日」に合わせて、セキュリティー関連のいろいろなサービスで、啓蒙活動が開催されていました。
まずは身近なところで、Passkeyの基礎について知っておきましょう。そして、移行の機会がやって来たら、自分の新しい知識として使いながらアップデートしていきましょう。セキュリティーにおける最大のリスクは人であり、それも無知と無関心が原因なことがほとんどですから。
この記事が公開された後、半年間で対応するサービスもさらに増えました。続きの記事もぜひお読みください。