パスキーは、ざっくり言うとパスワードの代わりに使う新しいログイン方法です。
指紋や顔、端末の画面ロックを使ってログインできます。入力するのはパスワードではなく、あなたの端末での本人確認です。つまり、ログインの主役がキーボードから端末に移ります。
ここで誤解が多いのですが、パスキーは指紋データや顔データをサービスに送る仕組みではありません。本人確認は端末の中で行われ、サービス側は公開鍵暗号の仕組みで正しい端末かどうかを確認します。だから漏えいしにくい設計になっています。
豆知識:パスキーはサービスごとに別物として作られます。あるサイトで作ったパスキーが、別のサイトで使い回されることはありません。
なぜ今パスキーが現実味を帯びたのか
今は、スマホの生体認証とOSの標準機能が当たり前になりました。ログイン体験として成立する土台が整ったのです。
さらに日本では、金融や大規模サービスの流れが背中を押しています。たとえば証券の世界では、重要な操作でフィッシングに強い多要素認証を必須化していく流れが明確になり、例としてパスキーやPKIベースの認証が挙げられています。
dアカウントがパスキー認証を提供していたり、Yahoo! JAPANがパスキーでのログインを案内していたり、証券会社がパスキー認証の導入予定を出していたりします。仕事でも私生活でも、無視できない存在になりました。
パスキーの強さはどこにあるのか
強みは盗めないことより騙しにくいこと
パスワードが危ない理由は、盗まれることもありますが、騙されて渡してしまうことが多いからです。フィッシングの怖さは、人間のうっかりを狙う点にあります。パスキーは、サービスのドメインにひもづく仕組みなので、基本的に偽サイトに入力して渡してしまう構造になりにくいです。これが大きな違いです。
さらに、パスキーはパスワードのように紙に書いて共有したり、メールで送ったりしにくい設計です。便利な裏技が封じられる感じがして嫌がる人もいますが、裏技が事故の入口になっていたのも事実です。
- 入力が減るので、長文パスワードの打ち間違いが消えます。
- 使い回しが起きにくいので、芋づる式の被害が減ります。
- フィッシング耐性が高いので、うっかりの被害を減らしやすいです。
生体認証が怖い人へ
指紋や顔を使うと聞くと、どこかに生体情報が吸い上げられるのではと不安になりますよね。
多くの案内で強調されている通り、生体情報は端末上で処理され、サービス側に送られない設計です。要するに、サービスが見ているのは指紋そのものではなく、端末が本人だと認めたという結果です。
豆知識:パスキーでの認証は指紋や顔だけでなく、端末のPINやパターンなど画面ロックでも成立します。職場で指が荒れて指紋が通りにくい人ほど、この逃げ道は重要です。
便利さの裏にある落とし穴
機種変更と紛失の現実問題
一番大事なのは、端末を無くしたときに詰まない設計にしておくことです。パスキーは便利ですが、端末が入口になるぶん、端末を失うと不安になります。
ただし多くの場合、パスキーはOSやパスワードマネージャーの仕組みで同期されます。つまりスマホを買い替えても、同じアカウントの環境に復帰できれば助かる可能性が高いです。とはいえ、復帰の鍵になるのは結局、端末の画面ロックとアカウントの復旧手段です。
今日からできるパスキー導入の現実的な手順
いきなり全部をパスキー化しようとすると挫折します。まずは被害が大きくなりやすい場所から、小さく始めるのがコツです。
- 最初はメールと大手IDから始めて、復旧経路の強化を優先します。
- スマホの画面ロックを強くして、他人に解除されない前提を作ります。
- 予備の復旧手段を整えて、端末紛失でも戻れる道を用意します。
特にメールは要です。メールが乗っ取られると、他サービスのパスワード再設定が連鎖します。ここをパスキーに寄せる効果は大きいです。gmailが提供しています。
次に通販やSNSなど、個人情報と決済が絡むサービスを優先すると失敗が少ないです。ここは、amazonが提供しています。
そして金融は、サービス側の提供形態に合わせつつ慎重に進めるのが無難です。取引や出金など重要操作でフィッシング耐性のある認証が求められる流れもあり、パスキーが普及する前提が整いつつあります。楽天証券やSBI証券が提供しています。
パスキー導入
パスキーはフィッシングに強い。だけです。正直、パスワードのほうが自動入力ですぐにログインできていました。私は不便さが勝っています。
一方で、端末と復旧が要になる以上、放置していると逆に詰む人も出ます。スマホの画面ロックが甘い。端末紛失時の復旧手段が弱い。家族の端末が無防備。こういう状態だと、パスキーの便利さだけを吸って、弱点だけが残ります。だから順番が大切です。
コメント