パスキーって何?その仕組みと懸念点をざっくり解説
Webサイトのログイン時にパスキーを要求されることがあります。でも、そもそもパスキーって何でしょうか?パスワードとは何が違うんでしょうか?
ちょっと調べてみました。
(*このページには広告が含まれています)
広告
目次リスト
Outline
パスキーとは
簡単に言えば、パスワードよりも安全で使いやすい、次世代の認証方式のことです。Webサイト(サーバー)にログインするための鍵だと思えば間違いないでしょう。
パスキーは、スマホやパソコンなど普段使う端末で、顔認証や指紋認証、またはPINコードを使って、簡単にログインできます。そのため、パスワードのようにその都度入力する必要がなく、複雑な文字列を覚える必要がありません。
パスワードはサーバーに保存されますが、パスキーは普段使っているスマホやパソコンの中に安全に保存され、生体認証(顔認証・指紋認証)やPINコードによって安全に守られています。そのためサーバー側から流出する恐れもありません。
パスキーの仕組みとは
もう少し詳しくパスキーの仕組みを見ていきましょう。
パスキーは、あなたの端末にだけある秘密の鍵と、サーバーにある公開の鍵を使って本人確認をしています。これにより、パスワードよりも情報が盗まれにくくなっています。
- ログインしようとすると、サーバー側は端末側へランダムなデータを送信(チャレンジ)します。
- 端末側はそのデータに秘密の鍵を使って署名し、サーバー側へ送り返します。
- サーバー側は公開の鍵を使って署名を検証することで、本人であることを確認します。
先ほども記したように、秘密の鍵はサーバー側には保存されていないので、サーバー側から流出する恐れはありません。端末側でも厳重に守られており、流出の危険性は非常に低いと考えられます。例え流出したとしても、パスキーは端末とセットで運用されているので、秘密の鍵だけではサーバーにアクセスすることはできません。
もし端末を盗まれたとしても、端末が顔認証や指紋認証で守られている限り、簡単に使われることはありません。ただし、端末の認証をPINコードだけに頼るのは危険です。PINコードは4~8桁の数字が多く、簡単に推測される可能性があるためです。PINコードと生体認証(顔認証・指紋認証)を併用する。PINコードを「0000」や「1234」などわかりやすい組み合わせにしない、などの対策が必要です。
パスキーの懸念点
パスワードよりセキュリティが高く、かつ簡単に使えるパスキーは完璧な認証方法のように思えますが、懸念点はないのでしょうか。
- 利用できないサービスもある
現在パスキーは、Apple、Google、Microsoftなど、多くのWebサービスや、多くの金融機関で利用することができます。利用できるサービスは今後も増えていくでしょう。しかし、まだ利用できないサービスもあるため、当面はパスワードとパスキーの両方を使い分ける必要があります。
- 端末の故障や紛失の際に不便?
パスキーは端末とセットで運用されるため、端末の故障や紛失時にパスキーは使えません。
ただし、多くのサービスでは、パスキーをインターネット上の安全な場所(クラウド)で同期しているため、例えば、同じApple IDでログインしていれば、別の端末からでも同じようにパスキーを利用することができます。(GoogleやMicrosoftでも同様) あるいは、パスキーが保存されたスマホがあれば、QRコードやBluetoothを使って別のパソコンへログインすることも可能です。(クロスデバイス認証) また、パスキー以外(パスワードやSMS認証)での認証もサポートされているケースが多いので、万が一の対策はしっかりと取られています。
- セキュリティに完璧はない
パスキーはセキュリティが高い認証方法ですが、そもそもセキュリティに完璧はありません。
先ほど、パスキーをクラウドで同期していると書きました。そうすることで利便性は高まりますが、クラウドがハッキングされる危険性がゼロとは言い切れません。
セキュリティをどれだけ高めても、攻撃者側も日々進化しているという認識が必要です。
広告
まとめると
パスキーは「より安全で、より簡単にログインできる新しい認証方法」です。
現在、AppleやGoogle、Microsoftだけでなく、多くの金融機関や主要Webサービスでもパスキー対応が完了しています。パスキーを使えばパスワードを管理する手間がなくなり、利便性と安全性が大幅に向上します。
ただし、セキュリティ対策に完璧はありません。パスキーを使うことは大切ですが、それだけで安心せず、パソコンやスマホのセキュリティ更新を欠かさず行う、不審なメッセージに注意するなど、基本的なセキュリティ対策も一緒に実践しましょう。
