パスワードが必要のない世界「パスキー」がやってきた

皆さん、パスワード管理はどうされていますか？

私は、1Passwordで管理していて、保存しているパスワードの数は500件を超えています。これだけの数になる理由は、Webサービスで同じパスワードを使い回しせずに変更するためです。Webサービス全盛の時代とはいえ、この数にはうんざりします。

このパスワードをなくす取り組みが進められており、トレンドはApple、Google、Microsoftがサポートを表明する「パスキー（Passkeys⁠）⁠」です。

Googleは、2022年12月8日に「Google Chrome 108安定版」でパスキーをサポートしたとを発表しました。当然、Android版のGoogle Chromeにも実装されています。

パスキーってなに？

パスキーとは、パスワードなしでWebサービスなどログインできる仕組みで、これまでのパスワードに変わるものです。

これまでのパスワードは、フィッシングされたり流出する問題がありました。この対策として2段階認証などの防御策がありますが、安全のためとは言えログイン時に手間がかかるので、これが最良の策とは言えません。

パスキーは、Webサイトで初回登録を済ませれば、次回のログインからは登録時に決めた認証方法（顔や指紋認証、PINなど）でログインができます。これでサイトごとに用意したパスワードを入力する手間がなくなります。

パスキーは、安全に生成されたキーをWebサイトに提供するだけで、サイト経由でパスキーが漏洩する心配もありません。また、URLと紐付けてパスキーが管理されているので、フィッシングサイトで誤って入力する心配もありません。

それでは、WebAuthn.ioを例にして、パスキーの生成から認証までの流れを説明していきます。利用したブラウザはGoogle Chromeです。

サイトにアクセスすると、ユーザ名を入力するフィールドと「Register」と「Authenticate」の青いボタンがあります。

初回は、ユーザ名を入力して「Register」をクリックします。するとパスキー生成確認のダイアログが表示されるので、「⁠続行」をクリックします。

筆者はTouch ID付きのMacを使っているので、これを使ってパスキーを生成します。OS標準のTouch IDの認証ダイアログが表示されたら、Touch IDに指を置いてしばらく待ちます。

するとパスキーが生成されて、使っているGoogle Chromeのパスワードマネージャーにあるパスキーに保管されます。

これまでのように自分でパスワードを生成して保管する手間が省けます。おっかなびっくりで試してみましたが、使え慣れてしまえば非常に簡単です。

「別の方法を試す」では、Androidデバイスを使った認証ができるので試してみます。

たとえば、手持ちのPixel 6 Proを指定すると認証手続きをする通知がされます。通知をタップするとパスキー生成の画面に遷移します。このタイミングでPixel 6 Proの画面内指紋認証を使ってパスキーを生成します。

生成したパスキーは、設定アプリの「パスワードとアカウント⁠」⁠-「⁠Google⁠」⁠-「⁠自身のアカウント名⁠」⁠-「⁠パスワードマネージャー」に保管されています。

認証時にPixel 6 Proを指定すると、パスキー生成時と同じように通知が行われ、これをタップすると指紋認証するダイアログが表示されます。ここで認証が通ればWebサイトにログインができます。

スマホでログイン認証ができるのは便利です。

ただ、いろいろな情報がスマホに集約されることに便利さを感じる反面、スマホをなくすと、今以上に面倒なことになるなと感じます。

肝心の対応サイトです。

取り組みが始まったばかりというのもありますが、筆者がよく使うWebサービスは対応してなさそうです。Googleのサービスもこれからのようですが、Yahoo!JAPANは対応をはじめています。

もうひとつ、パスワード管理に1Passwordを使っており、これの使い心地には満足しているので、引き続き使い続けると考えると対応を待つことになります。公式ブログでは、今夏にはパスキーへ対応すると書かれているので、この頃には筆者にもパスワードのない世界がやってきそうです。

今週は、このあたりで、また来週。