今後、Webサービスから「パスワード」がなくなるかもしれない。というのは、ここ2年ほどで「パスキー」と呼ばれる、スマホやPCのセキュリティ領域に保存した暗号鍵を用いた、より簡単かつ安全な認証方式が普及しつつあるからだ。

 例えばドコモ利用者なら、dアカウントでパスキーを使い始めた人もいるだろう。また、「生体認証」という名称でauやメルカリ、Yahoo!JAPANなどのログイン時にもう利用しているかもしれない。

 ここ2年でパスキーに注目が集まったのは理由がある。2022年5月にApple、Google、Microsoftの3社が、FIDOアライアンスとW3Cが策定した「パスキー(Passkeys)」への対応を発表したからだ。もととなる認証方法のFIDO2をより利用しやすくし、大手3社のOSやブラウザがそろって対応を進めたことで、Webサービス各社もパスキー対応を急速に進めているというわけだ。

 現在では、Adobe、Amazon、PayPal、任天堂などさまざまな大手Webサービスが続々と対応している。パスキーが普及すれば、従来のパスワード認証と比べてフィッシング詐欺への対応が大幅に強化されることもあり、業界全体でより安全なパスキーを普及させようという流れが起きているわけだ。

 ただこのパスキー、仕組みの解説は多いのだが、利用者目線の説明が少ない。

 そこでこの記事では「はじめてのパスキー」として、実際の使い方や便利さ、今後どう付き合えばいいのかについて紹介していこう。

●実際にWebサービスで「パスキー」を使ってみよう

 まずは実際に、パスキーを使ってみよう。ここでは「Yahoo! JAPAN」とiPhone、Androidスマートフォンを例に紹介する。他にも任天堂やAmazon、メルカリなどもパスキーを試しやすい。また、dアカウントやau IDも対応している。各サービスのサポートページを確認しながら試してみるといいだろう。

パスワードの代わりとなる、パスキーを作成する

 まずは、iPhoneならSafari、AndroidならChromeブラウザでYahoo! JAPAN「https://www.yahoo.co.jp/」にログインしておく。

 Yahoo! JAPANのサイトから、右上の「メニュー(三本線のボタン)」→「Yahoo! JAPAN IDの表示名」→「ログインとセキュリティ」→「生体認証(指紋・顔など)」にアクセスし、登録するとパスキーが作成される。作成画面の下に登録済みの端末として追加されたら完了だ。

 大半のWebサービスは、アカウントのIDとは別に文字列のパスワードを作成する。パスキーの場合は、パスワードではなくスマホ本体に暗号鍵を作成するので文字の入力などは必要ない。

 また、パスキーの認証時にスマホやPCで顔・指紋認証・PINを用いたロック解除を行うので「生体認証」とも呼ばれるが、これはスマホ本体のロックを使って本人の操作かを改めて確かめているだけだ。実際にスマホやPCとWebサービス間でやりとりしているのは、暗号鍵(公開暗号鍵方式)による認証情報だけなので、パスキーの利用時に顔や指紋のデータがWebサービスに送られることはない。

実際にパスキーを使ってログインする

 次に、パスキーでのログインを試そう。

 まずはログアウトしたいので、Yahoo! JAPANのサイトから、右上の「メニュー(三本線のボタン)」→「Yahoo! JAPAN IDの表示名」→ページ下部の「ログインしないでサービスを使う」からログアウトする。

 次に、トップページのYahoo! JAPANロゴの右側の「ログイン」をタップし、Yahoo! JAPAN IDを入力する。すると、次の画面でスマホの画面ロックの解除を求められ、解除するとパスキーを用いたログインが完了する。この際に、パスワードやSMS認証は求められない。

 なお、作成したパスキーはiPhoneやAndroid側でも、パスワード管理機能からまとめて確認できる。

・iPhone:「設定」→「パスワード」

・Android:「設定」→「パスワードとアカウント」→「歯車」→「Googleパスワードマネージャー」

●パスキーならではの、同期・ローミングを使ってみよう

 パスキーは作成した暗号鍵を複数のスマホなどで同期できる他、パスキーを作成していないデバイスと接続して利用するローミングもできる。これらも試してみよう。

パスキーはアカウント・デバイス間で同期できる

 パスキー同期の利点は、機種変更がしやすくなることと、複数の機器を使う際にパスキー発行の手間を省ける点だ。この機能は「マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル)」と呼ばれている。現時点で、Apple製品はiCloudキーチェーン、AndroidデバイスはGoogleパスワードマネージャーが対応している。

 実際に使ってみよう。Yahoo! JAPANのパスキーをiPhoneに作成した場合、同じApple IDで利用している他のiPhoneやiPad、Macからもパスキーを用いたYahoo! JAPANへのログインを利用できる。Androidの場合は、同じGoogleアカウントで利用している他のAndroidデバイスからログインできる。

 以下は、現時点で同期に対応したOSとクラウド、デバイスをおおまかにまとめた図だ。AppleとGoogleは自社OSのデバイスに限り同期を提供している。Microsoftは今のところアカウントでの同期について提供を確認できなかった。

 もし、パスキーをさまざまなOSで同期したいなら、「1password」などのパスキーにも対応した有料のパスワード管理サービスを使う方法もある。もしくは、同期ではないが物理的なセキュリティキーにパスキーを作成し、認証時に各機器と接続する方法もある。

パスキーは別のデバイスでの認証にも利用できる

 次に、パスキーのローミングを利用してみよう。なお、PCでスマホ内のパスキーを利用する場合は、PC側もBluetoothが必要になる。

 先ほどの同期だと、基本的にはiPhoneやAndroid、Windows間ではパスキーを同期できない。また、普段あまり使わないスマホやPCからログインする場合、パスキーなどのログイン情報をあまり残したくないだろう。そこで、パスキーでのログイン時に、近くにある他の機器のパスキーを利用する「ローミング」という仕組みがある。

 今度は、Windows 11のPC(パスキーを未作成)からYahoo! JAPANにログインしてみよう。ログイン画面でIDを入力し、次の画面で「他の方法でログイン」→「指紋・顔など」を選択する。

 パスキーが保存されているデバイスの選択画面で「iPhone、iPad、またはAndroidデバイス」を選択すると、画面にQRコードが表示される。パスキーを搭載したスマホのカメラ機能で読み込み、スマホの画面ロックを解除すると、PCでスマートフォン内のパスキーを用いたログインが完了する。

 この機能は、手持ちのスマホでパスキーを集中管理したいときに便利だ。Androidの場合は一度利用するとQRコードの撮影をスキップできる。この他にも、ゲーム機のNintendo Switch本体にログインする際、スマホで作成したニンテンドーIDのパスキーを用いるといった使い方もできる。

●パスキーの安全面での利点と、普及までの課題を確認する

 ここまでパスキーの使い方や機能などを紹介してきた。ただ、実際に使ってみると「ブラウザで使えてもアプリが非対応」「パスワードレスといっても、パスワードやSMS認証なども結局残るのでは」といった疑問が浮かぶだろう。最後にこの点について見ていこう。

 まず、パスキーをアプリでは使えないWebサービスがある理由として、パスキーが注目を集めてからまだ1〜2年しかたっていないことが大きいだろう。時間がたてばパスキーの扱い方がある程度固まり、アプリ側の対応も改善されるのではないだろうか。

 パスキーとパスワードやSMS認証など各種認証方式との関係だが、サービス内容によって使い分けや組み合わせが進むだろう。ただ、パスワードは欠点が多い。決済を扱うようなWebサービスでは数年かけてパスキーの利用に置き換えつつ、パスワードの削除を促す動きが強くなるのではないだろうか。

パスワード認証の欠点

・どのPCやスマホからもログインできる

・メモや盗み見、キーロガーからカジュアルに盗める

・Webサービスから漏えいする恐れがある

・パスワードの使い回しで他のサイトでも被害にあう

・フィッシングサイト(偽サイト)にだまされると、IDとパスワードを入力した上で、SMS認証も入力できてしまう

 一方、従来のパスワードをパスキーに置き換えれば、認証時のリスクを大幅に下げられる。

パスキーでパスワードを置き換えた場合の利点

・ロック済みかつ、パスキーを持つスマホやPCしかログインできない

・セキュリティ領域の暗号鍵(秘密鍵)はカジュアルに盗めない

・Webサービスから暗号鍵(公開鍵)が漏えいしても不正アクセスできない

・パスキーは作成したWebサービスごとに異なる

・パスキーはフィッシングサイト(偽サイト)とは認証できない

 パスキーだから完全に安全かというとそうではないが、不正アクセスを実行するには、本人の所持するスマホを入手する必要があるなど、かなりハードルが上がる。

 穴があるとすれば、現在のiPhoneやAndroidだと本人が普段あまり使わない機器にもパスキーが同期された場合、不正アクセスの難易度がやや下がる点だろう。だが、それも重要なものはSMS認証や回線認証を組み合わせることで、ある程度防げる。

●パスキー時代、アカウント管理の心構えを見直そう

 パスキー自体は確かに比較的安全な認証方式だが、パスキーを利用したから全て安全と考えるよりも、「パスワードの部分をパスキーに置き換えればある程度安全、さらに他の認証方式とも組み合わせればより安全だ」という受け止め方が適切だろう。

 そしてパスキーの利用が増え、パスワードの利用が少なくなると、パスワード管理の代わりにパスキーの管理や機種変更、パスキーがない場合の再ログインに必要な当人確認用の要素について、より気にする必要が出てくる。今後は「人間関係をリセットしたいから、スマホも電話番号もメールアドレスも全部変えて新生活しよう」という行動はよりしづらくなるだろう。

 実際、iPhone間やAndroid間の機種変更なら同期でパスキーを引き継げるが、iPhoneとAndroid間の移行だと基本的にパスキーを同期できず、再ログインの作業が求められる。この際に、これまでの電話番号やメールアドレスが利用できないと、再ログインの作業が大変になるだろう。

今後、Webサービスのアカウント管理で重要視すべき内容

・「SMS認証」「メール認証」用の電話番号とメールアドレスの維持

・機種変更時はパスキーの移行作業が済むまで元のスマホを所持する

・スマホへの搭載が進みつつある「マイナンバーカード」の取り扱い

・スマホの生体認証やPINロックの安全さの維持

・パスキーを同期できるデバイスの定期的な管理

・パスワードを併用して使っている場合は、パスワードも管理する

 とはいえ、パスキーもいずれは当たり前のものになり、パスワードを登録しているサービスが古いものに見える時期が来るかもしれない。これから先、各種Webサービスのアカウントやパスワード、認証方法を見直すときが来たら、パスキーの存在を気にして設定してみてはいかがだろうか。