パスキーとは–パスワードに代わる認証方法の基礎

今回は「パスキーとは–パスワードに代わる認証方法の基礎」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　おそらく、読者の皆さんも多くのパスワードを使っているはずだ。

　パスワードマネージャーの助けを借りたとしても、パスワードはほとんどの人にとって、ますます大きな負担になっている。

　p455w0rd123のようなばかげたパスワードを設定して、使い回すことのできた時代は、とっくに終わっている。現在では、すべてのオンラインアカウントを、複雑で一意のパスワードによって保護する必要がある。

　さらに、多数のパスワードの1つが侵害された場合に備えて、常に警戒しておかなければならない。

　もっと良い解決策が必要だ。実は、パスワードよりも優れた解決策が存在する。

　それはパスキーだ。

　パスキーは、ウェブサイトとアプリの認証手段である。Appleが2022年6月に「iOS」と「macOS」でパスキー（同社の独自規格ではなく、普通名詞である）のサポートを追加したことで、広く知られるようになった。ただし、これはAppleのテクノロジーではなく、GoogleやApple、Microsoft、World Wide Web Consortium（W3C）、FIDO Allianceが推進している規格だ。

　仕組みについて説明すると、パスキーは暗号鍵であり、それぞれのパスキーは2つの鍵で構成される。オンラインサービスやアプリに登録される公開鍵と、スマートフォンやコンピューターなどのデバイスに保存される秘密鍵だ。

　複雑に聞こえるが、パスキーは使いやすいように設計されている。実際に、パスキーを使用してログインするときは、顔や指紋、PINを使用する。スマートフォンのロックを解除する方法とよく似ている。

　上の画像を見ると分かるように、パスワードは使われていない。ユーザーが覚えなければならないものや、誤ってハッカーに渡してしまうおそれのあるものは何もない。

　パスキーを使用すると、デバイス間でパスワードを同期しなければならないという問題も回避できる。

　例えば、いつもはスマートフォンを使用してGoogleアカウントにログインしているが、ノートPCを使用してログインする必要が生じたとしよう。この場合、パスキーがノートPCと同期していなくても、スマートフォンがノートPCのBluetooth範囲内にあり、ユーザーがログインを承認すれば、大丈夫だ。

　さらに素晴らしいのは、パスキーがスマートフォンとノートPCの間で転送されるのではなく、ログインの確認後、ノートPC上でパスキーを作成する機会がユーザーに与えられることだ。

　危険ではない。

　アクセスしようとしているウェブサイトやアプリに生体認証情報が送信されることはない。この生体認証情報はデバイス上でパスキーのロックを解除するためにのみ使用される。

　生体認証情報がデバイスの外部に送信されることは決してない。

　パスキーのシステム要件は以下の通りだ。