概要
パスキー(Passkey)認証とは、パスワードを入力する代わりに、スマートフォンやパソコンに備わっている指紋認証や顔認証、あるいは画面ロックの暗証番号(PIN)などを使ってログインする仕組みです。
ふつうのウェブサイトでは「ID」と「パスワード」の組み合わせを入力して本人がどうかを確認しますが、パスキー認証ではユーザー自身がパスワードを覚える必要がありません。セキュリティの業界団体である FIDOアライアンス と W3C (World Wide Web Consortium) によって標準化された技術をベースにしており、パスワードの流出や詐欺サイトによる被害を根本から防ぐことができます。
詳しい説明
パスキーの仕組み
パスキーは「公開鍵暗号(こうかいかぎあんごう)」という技術を使っています。身近な例えで説明すると、南京錠(公開鍵)と、その南京錠を開けるためのカギ(秘密鍵)のセットを作るようなものです。
- 登録するとき: ユーザーの端末(スマホやパソコン)の中で「南京錠」と「カギ」のセットが作られます。そして、ウェブサイトのサーバーには「南京錠」だけを渡します。「カギ」は端末の中に安全に保管され、外に出ることはありません。
- ログインするとき: サーバーから「この南京錠を開けてみて」と暗号化されたメッセージが届きます。端末の指紋認証などで本人確認ができると、端末の中にある「カギ」を使ってメッセージを開け、サーバーに返事をします。これでログインが完了します。
詳しくは Appleのパスキーに関するドキュメント や Googleのパスキー解説 を参照してください。
導入のメリットとデメリット
メリット
- パスワードを覚えなくてよい: 複雑な文字列を管理する手間がなくなります。
- フィッシング詐欺に強い: 偽のウェブサイト(詐欺サイト)にアクセスしてしまっても、サーバーにある南京錠(公開鍵)と一致しないため、カギ(秘密鍵)が使われることはなく、情報が盗まれません。
- 情報漏えいの被害を受けにくい: 万が一ウェブサイトのサーバーが攻撃されてデータが盗まれても、そこにあるのは「南京錠」だけです。「カギ」はユーザーの端末にあるため、犯人はログインできません。
デメリット
- 対応していない端末やサイトがある: 古いスマートフォンやパソコンでは利用できない場合があります。
- 仕組みが直感的にわかりにくい: パスワードのように「文字を入力する」という目に見える形ではないため、最初は戸惑うことがあります。
認証方法の安全性比較表
パスキーは本当に一番安全なのか、他のログイン方法と比較してみます。
| 認証方法 | 仕組み | 詐欺サイトへの耐性 | サーバー攻撃時の安全性 | 総合的な安全性 |
|---|---|---|---|---|
| パスワードのみ | 文字列を記憶して入力 | 弱い(騙されて入力すると盗まれる) | 弱い(サーバーから漏洩するリスクがある) | 低 |
| パスワード + SMS(電話番号) | パスワードに加えて、スマホに届く番号を入力 | やや弱い(偽サイトに番号も入力させられる手法がある) | 中(パスワードが漏れてもSMSが必要) | 中 |
| パスワード + 認証アプリ | パスワードに加えて、アプリ(Google Authenticator等)の番号を入力 | やや弱い(SMSと同様、番号を入力させられるリスクがある) | 高(番号は数十秒で変わるため安全) | 高 |
| パスキー認証 | 端末の生体認証などで暗号のやり取りをする | 極めて強い(偽サイトでは仕組み上反応しない) | 極めて強い(サーバーにカギの本体がない) | 最高 |
比較してわかる通り、現状のウェブ技術の中ではパスキーが最も安全なログイン方法の一つとされています。
考えられるリスクと注意点
パスキーは非常に安全ですが、特定の状況下ではリスクも存在します。
- 端末を紛失した場合: パスキーは端末の中に保存されます。もし端末を失くしてしまった場合、ログインできなくなる可能性があります。ただし、現在ではAppleアカウント(iCloudキーチェーン)やGoogleアカウントを通じて、新しい端末にパスキーを同期(引き継ぎ)できる仕組みが普及しているため、このリスクは減っています。
- クラウドのアカウントが乗っ取られた場合: パスキーがAppleアカウントやGoogleアカウントに同期されている場合、大元のAppleやGoogleのアカウント自体がハッキングされてしまうと、保存されているすべてのパスキーが悪用される危険性があります。そのため、大元のアカウントのセキュリティ(二段階認証など)をしっかり設定しておくことが重要です。
- 物理的な強制: 寝ている間に指を勝手に使われて指紋認証を突破されたり、脅されて顔認証を強制されたりするような、物理的な攻撃に対しては防ぐことができません。
まとめ
パスキー認証は、面倒で危険な「パスワード」という仕組みをなくし、より簡単で安全にインターネットを利用するための新しい基準です。仕組みの裏側は複雑ですが、利用する私たちは「スマホで指紋や顔を読み取るだけ」という手軽さで、最高レベルのセキュリティを手に入れることができます。
このサイトでの使われ方
このサイトでは、管理画面へのログインにパスキー認証(WebAuthn)を導入しています。一般的なパスワードでのログインを廃止し、管理者の端末(スマートフォンやセキュリティキーなど)を使ったパスキー認証のみを許可することで、外部からの不正ログインや総当たり攻撃(ブルートフォース攻撃)を防ぎ、システム全体の安全性を高めています。
