皆さん、パスワード管理はどうされていますか?
私は、1Passwordで管理していて、保存しているパスワードの数は500件を超えています。これだけの数になる理由は、Webサービスで同じパスワードを使い回しせずに変更するためです。Webサービス全盛の時代とはいえ、この数にはうんざりします。
このパスワードをなくす取り組みが進められており、トレンドはApple、Google、Microsoftがサポートを表明する
Googleは、2022年12月8日に
Chromium Blog: Introducing passkeys in Chrome
パスキーってなに?
パスキーとは、パスワードなしでWebサービスなどログインできる仕組みで、これまでのパスワードに変わるものです。
これまでのパスワードは、フィッシングされたり流出する問題がありました。この対策として2段階認証などの防御策がありますが、安全のためとは言えログイン時に手間がかかるので、これが最良の策とは言えません。
パスキーは、Webサイトで初回登録を済ませれば、次回のログインからは登録時に決めた認証方法
パスキーは、安全に生成されたキーをWebサイトに提供するだけで、サイト経由でパスキーが漏洩する心配もありません。また、URLと紐付けてパスキーが管理されているので、フィッシングサイトで誤って入力する心配もありません。
認証の一般的な流れ
それでは、WebAuthn.
サイトにアクセスすると、ユーザ名を入力するフィールドと
初回は、ユーザ名を入力して
筆者はTouch ID付きのMacを使っているので、これを使ってパスキーを生成します。OS標準のTouch IDの認証ダイアログが表示されたら、Touch IDに指を置いてしばらく待ちます。
するとパスキーが生成されて、使っているGoogle Chromeのパスワードマネージャーにあるパスキーに保管されます。
これまでのように自分でパスワードを生成して保管する手間が省けます。おっかなびっくりで試してみましたが、使え慣れてしまえば非常に簡単です。
デバイスを使った場合の認証
「別の方法を試す」
たとえば、手持ちのPixel 6 Proを指定すると認証手続きをする通知がされます。通知をタップするとパスキー生成の画面に遷移します。このタイミングでPixel 6 Proの画面内指紋認証を使ってパスキーを生成します。
生成したパスキーは、設定アプリの
認証時にPixel 6 Proを指定すると、パスキー生成時と同じように通知が行われ、これをタップすると指紋認証するダイアログが表示されます。ここで認証が通ればWebサイトにログインができます。
スマホでログイン認証ができるのは便利です。
ただ、いろいろな情報がスマホに集約されることに便利さを感じる反面、スマホをなくすと、今以上に面倒なことになるなと感じます。
対応サイトと対応アプリを待つばかり
肝心の対応サイトです。
取り組みが始まったばかりというのもありますが、筆者がよく使うWebサービスは対応してなさそうです。Googleのサービスもこれからのようですが、Yahoo!JAPANは対応をはじめています。
もうひとつ、パスワード管理に1Passwordを使っており、これの使い心地には満足しているので、引き続き使い続けると考えると対応を待つことになります。公式ブログでは、今夏にはパスキーへ対応すると書かれているので、この頃には筆者にもパスワードのない世界がやってきそうです。
Goodbye, passwords | 1Password
今週は、このあたりで、また来週。