最近、パスワード認証からパスキー利用にシフトしてきているという。
google pass key を例に、Geminiに聞いた内容をご紹介する。判断は自己責任で!

Googleのパスキーとは

Googleのパスキーとは、パスワードに代わる、より簡単で安全な新しい認証方法です。 従来のパスワードと異なり、**指紋認証、顔認証、またはスマートフォンの画面ロック(PINなど)**を使ってGoogleアカウントや対応する一部のサービスにログインできます。

これは、FIDOアライアンスとW3Cによって策定された、公開鍵暗号技術と生体認証やデバイスPINなどを組み合わせた認証技術に基づいています。

💻 使い方とメリット

使い方

パスキーを作成すると、ログイン時にパスワードの代わりに、デバイスのロック解除に使う方法(生体認証やPINなど)で本人確認を行います。

  1. Googleアカウントにログインしようとすると、パスキー認証を求められます。

  2. お使いのデバイス(スマートフォンなど)で、指紋認証、顔認証、またはPINを入力してロックを解除します。

  3. これにより、パスワードを入力せずにログインが完了します。

メリット

パスキーは、従来のパスワード認証に比べて多くの利点があります。

  • 🛡️ 非常に高い安全性

    • フィッシング詐欺に強い: パスキーは、アクセスしようとしているウェブサイトのドメイン(オリジン)と紐づいているため、偽サイトでは機能しません。これにより、ユーザーが騙されてパスキーを盗まれるリスクを大幅に減らせます。
      ※ google pass keyの場合は、 純正の google.com と紐づいているため、フィッシングの偽サイトでは機能しないと。

    • 推測・再利用が不可能: パスキーは複雑な鍵ペアで、サービスごとに自動生成されるため、総当たり攻撃やパスワードの使い回しによるリスクがありません。

    • 秘密鍵がデバイスに保存: 認証情報はデバイス内にのみ保存され、Googleや他の事業者と共有されることはありません。

  • ✨ 優れた利便性

    • パスワードを覚える必要がない: 複雑なパスワードを記憶したり、変更したりする手間が一切なくなります。

    • スムーズなログイン: 生体認証やPINで簡単にログインでき、多くの場合、二段階認証などの追加認証も不要になります。

    • デバイス間で同期: 一度設定すれば、同一アカウントでログインしているデバイス間(対応環境内)でパスキーが同期され、他のデバイスでもスムーズに利用できます。

🚨 問題点(課題)

パスキーは非常に有望な技術ですが、まだいくつかの課題や注意点があります。

  • 📱 デバイス依存性

    • パスキーはデバイスに紐づくため、デバイスを紛失したり故障したりした場合のリカバリー手段(復元オプション)を別途確保しておく必要があります。

    • 現状では、異なるOS(例:iOSとWindowsなど)のデバイス間でのパスキー利用には、QRコードを読み取るなど、やや手間がかかる手順が必要になる場合があります。

  • 普及状況

    • GoogleやApple、Microsoftなどの大手企業は対応を進めていますが、すべてのWebサイトやアプリで利用できるわけではありません。業界全体に普及するにはまだ時間がかかります。

  • 紛失デバイスからの削除

    • スマートフォンなどを紛失した場合、悪用されるリスクを防ぐために、古いデバイスからパスキーの登録を解除する手続きが必要です。

このYouTube動画では、Googleのパスキーがパスワードよりも安全な理由について解説しています。 Googleが激推しする認証方式「パスキー」って何だ?パスワードの代わりに今すぐ設定すべき理由 – ダイヤモンド・オンライン

 

指紋認証やカメラや、スマホ、指紋認証・カメラのある機器も混在して利用する場合の注意事項は?

Googleのパスキーを、指紋認証、顔認証(カメラ)、スマートフォン、PCなど複数の機器や認証方法を混在させて利用する際の主な注意事項をまとめます。

⚠️ 複数デバイス・認証方法を混在利用する際の注意事項

Googleのパスキーは利便性が高いですが、デバイスやOSをまたいで利用する際には、特に以下の点に注意が必要です。

1. 異なるOS間での同期と利用方法

パスキーは、原則として同じOS(プラットフォーム)のデバイス間でのみ自動同期されます。

  • 同一OS(例: Androidスマホ ↔ Androidタブレット、または iPhone ↔ Mac)

    • Googleアカウント(またはAppleのiCloudキーチェーンなど)を通じてパスキーが自動的に同期されるため、同じ生体認証やPINでスムーズにログインできます。

    • 注意点: パスキーを利用するには、各デバイスが最新のOSバージョンであること、またGoogleアカウントにログインしていることが必要です。

  • 異なるOS(例: Androidスマホ ↔ Windows PC、または iPhone ↔ Windows PC)

    • パスキーは直接同期されません

    • 利用手順: PCなどの非同期デバイスでログインする際は、画面に表示されるQRコードをスマートフォンでスキャンし、BluetoothをONにして認証を連携させる必要があります。この一手間が発生することを把握しておきましょう。

2. デバイス紛失・共有に関するセキュリティ対策

パスキーの秘密鍵はデバイスに保存されているため、デバイスの管理が非常に重要です。

  • デバイス紛失・盗難時の対応

    • 紛失・盗難に気づいたら、すぐにGoogleアカウントの設定画面から、該当のデバイスに紐づいた**パスキーを連携停止(削除)**してください。これにより、第三者による悪用リスクを低減できます。

  • 共用デバイスでのパスキー設定禁止

    • 家族や職場で複数人が利用するPCやタブレットでは、パスキーを設定しないでください。デバイスのロック解除ができれば、他人もアカウントにログインできてしまうリスクがあります。必ず個人専用の端末でのみ設定しましょう。

  • 画面ロックの徹底

    • パスキーを利用するすべてのデバイスで、生体認証(指紋・顔)または強固なPIN/パターンによる画面ロックを設定し、ロック解除を厳しく管理してください。

3. ハードウェアと認証方法に関する注意

  • 生体認証が利用できない場合

    • 指紋認証や顔認証に対応していない機器や、生体認証センサーが故障した場合でも、通常はPINコードやパターン認証(画面ロック)でログインできます。

    • ただし、そもそも画面ロック機能のない古いデバイスではパスキーの利用はできません。

  • カメラ・センサーの動作確認

    • 顔認証(カメラ)や指紋認証が正常に機能しないと、ログインに時間がかかったり、失敗したりする可能性があります。利用前に、各デバイスの生体認証機能が正しく動作していることを確認しましょう。

これらの注意点を踏まえて、安全で便利なパスキー利用を心がけてください。