「パスワード管理」はもう不要?パスワードからパスキーに移行するメリット・デメリット

ネットで各Webサービスを利用することはいまや当たり前ですが、その際に必須なのが、「パスワード」。パスワードを使うときには「使い回しをしない」「定期的に変更する」「二段階認証を設定する」といったさまざまな管理方法が推奨されてきましたが、不正アクセスのリスクが高まっている今、より安全で便利な「パスキー」への移行が注目を集めています。
この記事では、パスキーとは何か、従来のパスワード認証と何が違うのか、そしてパスキーへの移行は本当に検討すべきなのか、そのメリットとデメリットを深掘りしていきます。
「パスワード」は危険?
冒頭でも述べた通り、フィッシング詐欺やデータ漏洩による不正アクセスは近年、増加の一途を辿っています。その背景にあるのが、二段階認証をも突破する「リアルタイムフィッシング詐欺」です。

リアルタイムフィッシング詐欺は金融機関や大手企業などを装った偽のメールやSMSを送信し、ターゲットをフィッシングサイトへ誘導。ターゲットがフィッシングサイトにIDとパスワードを入力すると、その情報をリアルタイムで窃取します。

続いて攻撃者は、窃取したIDとパスワードを用いて、即座に正規のウェブサイトへログインを試みます。そのため、リアルタイムフィッシング詐欺に引っかかってしまうと二段階認証すら意味のないものとなってしまう可能性があります。
つまり、パスワードはフィッシングや使い回しによる流出リスク、ハッキングリスクが高いと言えるでしょう。その点、新たに注目されているのが「パスキー」です。
パスワードに代わる認証方式「パスキー」とは?

パスキーとは、パスワードに代わる、より簡単で安全な認証方式です。ウェブサイトやアプリへのログイン時に、ユーザーはパスワードを記憶・入力する必要がなく、代わりにスマートフォンやPCなどのデバイスに保存された認証情報(パスキー)と、デバイスのロック解除方法(指紋認証、顔認証、PINなど)を利用して認証を行います。
なお、パスキーには「FIDO2(Fast Identity Online 2)」という認証技術標準が用いられています。認証の仕組みに使われているのは、「公開鍵暗号方式」です。
ユーザーがサービスにパスキーを登録する際、デバイス内で「秘密鍵」と「公開鍵」のペアが生成されます。秘密鍵はユーザーのデバイス内の安全な領域(セキュアエレメントなど)に保管され、公開鍵のみがサービス提供者のサーバーに登録されます。
この方式では、秘密鍵がネットワーク上を流れることはなく、サーバー側にも保管されないため、非常に高いセキュリティを実現します。
パスワードとパスキーは何が違う?

パスワードは「本人しか知り得ない文字列(PIN)」を入力する認証方式ですが、パスキーは、デバイスと本人の生体情報、もしくはPINを組み合わせて認証します。パスワードは一度流出すると不正利用されるリスクが高く、また複数のサービスで同じパスワードを使い回すことも多いため、攻撃の対象になりやすいのが実情です。
一方、パスキーはデバイスごとに一意に生成され、認証情報が外部に流出しない仕組みになっています。そのため、フィッシング詐欺や総当たり攻撃にも強く、セキュリティ面で大きな優位性があります。
パスワードを「パスキー」に置き換えるとセキュリティが向上する理由
パスキーがセキュリティ面で高く評価される最大の理由が、フィッシング詐欺への耐性です。パスキーはウェブサイトのドメインと紐づいており、正規のドメイン以外では認証が機能しません。
ユーザーが誤ってフィッシングサイトにアクセスしても、パスキーが悪用されることはありません。
また従来のパスワード認証では、万が一サービス提供者のサーバーが攻撃を受けパスワード情報(ハッシュ化されていても)が漏洩すると、不正アクセスのリスクがありました。しかし、パスキーではサーバーに保存されるのは公開鍵のみで、秘密鍵はユーザーのデバイスに安全に保管されるため、サーバーが侵害されても秘密鍵は守られます。
パスキーはユーザーにとってもメリットが大きい
パスキーはセキュリティの強化だけでなく、ユーザーの利便性(UX)も大幅に向上します。ユーザーはサービスごとに異なる複雑なパスワードを覚える必要がなくなり、パスワード管理の煩わしさから解放されます。
さらに指紋認証や顔認証など、デバイスのロック解除と同じ操作で瞬時にログインできるため、ログイン時間が大幅に短縮されます。
パスキーの対応サービス・デバイスの普及状況がカギ
パスキーは比較的新しい技術であるため、すべてのウェブサイトやアプリが対応しているわけではありません。まだ利用できるサイトは限定的であり、従来のID・パスワード認証と併用されているケースも多く見られます。
とはいえ急速に拡大が進んでいることも間違いありません。たとえば国内のサービスでパスキー対応がいち早く進んでいるものには『メルカリ』が挙げられます。

メルカリは自社のオウンドメディア「mercan」で、パスキー登録者数がわずか2年強で1,000万人を突破したことを報告しています。このように積極的にパスキーを導入しているサービスではユーザー側もパスキーに対応するのがベターでしょう。
とはいえ個々人のユーザーにとっては、パスキーへの対応は「めんどくさい」面もあるでしょう。長年使い慣れたパスワード認証を「全く別の認証に切り替える」のは心理的な抵抗感も大きいはずです。即座にパスワードを廃止しパスキーのみに移行するのは現実的ではないかもしれません。
しかし、パスキーのセキュリティ面での信頼性の高さは明らかです。パスキーは「信頼性の高いパスワードレス社会」への大きな一歩であり、IoTデバイスやスマートホームシステムへの応用可能性も期待されています。
まずは自分が普段使うサービスの1つか、2つの認証方式を「パスキー」に切り替えることから試すことをおすすめします。
※サムネイル画像(Image:Shutterstock.com)
記事提供元:スマホライフPLUS
※記事内容は執筆時点のものです。最新の内容をご確認ください。