パスキーの仕組みと使い方
Passkeysはパスワードのない未来を創造します。Passkeysとは何か、そして使い始めるにはどうすればよいかをご紹介します。
写真・イラスト:WIREDスタッフ、ゲッティイメージズ
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
パスワードは厄介だ。覚えにくいだけでなく、もっと厄介なのは、常に進化し続けるサイバーセキュリティのモグラ叩きゲームを、最も重要なアカウントで繰り広げることだ。そこでパスキーの出番だ。いわゆる「パスワード戦争」はここ2年で勃発し、Google、Microsoft、Appleといった巨大企業がパスワードのない未来を推進している。FIDOアライアンス(「パスワードへの過度な依存を減らす」ために設立されたコンソーシアム)は10年以上前からその実現を目指してきた。
好むと好まざるとにかかわらず、いつかはパスキーの作成を求められるでしょう。そして、おそらくすでに作成済みでしょう。これは良いことです。パスキーは従来のパスワードよりもはるかに使いやすく、はるかに安全だからです。パスキーの使い方について知っておくべきことをすべてご紹介します。
9 月 2 日更新: パスキーの復元に関する詳細をいくつか追加し、生体認証以外の認証オプションについて説明しました。
目次
- パスキーとは何ですか?
- パスキーは安全ですか?
- パスキーと2FAおよびMFA
- パスキーをサポートするデバイスとブラウザ
- パスキーの作成と保存方法
- パスキーをサポートするアプリ
- パスキーは(最終的には)パスワードに取って代わる
パスキーは、長くて複雑なパスワードを覚えなくても、フィッシングや辞書攻撃などのパスワードに対する一般的な攻撃に耐性のある方法で、自分が本人であることを確認する方法を提供します。
「パスキーは、パスワードや時代遅れの二要素認証を完全に置き換えるために開発されました」と、FIDOアライアンスのエグゼクティブディレクター兼CEOであるアンドリュー・シキアー氏はWIREDに語った。パスキーはサイバーセキュリティにおける稀有な進歩であり、従来の方法よりも使いやすく、より安全でもある。
eBay(ジェイコブ・ローチ経由)
概念的には、パスキーには様々な形式がありますが、最も一般的には所有するデバイス上で操作されます。例えば、新しいデバイスでGoogleアカウントにログインしたいとします。パスワードを入力する代わりに、パスキーを使用すると、既に認証済みのデバイスでアカウントにログインできます。スマートフォンをパスキーとして使用すれば、パスワードを入力することなくGoogleアカウントに瞬時にアクセスできます。パスキーの最適な実装では、ユーザー名すら必要ありません。
パスキーはパスワードとは根本的に異なる仕組みで動作するため、結果的にパスワードよりも安全で便利です。サイバーセキュリティの世界では、パスワードはいわば「共有秘密」です。あなたも、そしてあなたがサインインするサービスも、その秘密を知っています。問題は、その秘密を記憶しておかなければならないこと、そして、その秘密をあなたが利用しているサービスと共有する必要があるため、完全に管理できないことです。データ漏洩と少しの解読時間があれば、アカウントが乗っ取られてしまう可能性があります。しかも、あなたは何も悪いことをしていなくても。
パスキーは公開鍵暗号方式を採用しています。公開鍵暗号方式では、共有秘密鍵を照合するのではなく、2つの鍵(誰でも閲覧可能な公開鍵と、本人だけがアクセスできる秘密鍵)を照合することで機能します。本人だけが秘密鍵にアクセスできるため安全です。また、秘密鍵は本人所有のデバイスに紐付けられ、通常は生体認証で保護されているため、操作も簡単です。
デバイスを紛失または盗難された場合、デバイスを作成したアカウントを使用してパスキーを復元できます。例えば、GoogleではパスキーをGoogleパスワードマネージャーに保存し、デバイス間で同期できます。WindowsとiCloudキーチェーンはそれぞれのオペレーティングシステムでのみ動作しますが、それぞれMicrosoftアカウントとAppleアカウントに紐付けられています。
パスキーは安全ですか?
パスキーは、長くてランダムなパスワードよりも安全です。パスキーでサインインすると、サインイン先のサービスにいくつかの情報が送信されます。その中には、ユーザーとしてのあなたを表すものとして保存されている公開鍵も含まれます。この情報だけでは何も起こりません。
パスキーを作成したデバイスでは、秘密鍵のロックを解除するために「チャレンジ」と呼ばれる認証を行う必要があります。これは通常、何らかの生体認証です。チャレンジが成功すると、署名されてログインしようとしているサービスに送り返されます。次に、このチャレンジは公開鍵と照合され、一致すればアクセスが許可されます。重要なのは、この認証は遠く離れたサーバーではなく、デバイス上で行われるという点です。
モバイルデバイスでは、パスキーと生体認証を併用するのが一般的ですが、必須ではありません。例えばWindowsでは、デバイスのPINを使用できるWindows Helloで認証する必要があります。Androidでは、PINまたはパターンを使用できます。
パスワードを使うと、攻撃者がパスワードを盗む可能性が非常に高くなります。データ侵害によってパスワードが漏洩する可能性があり、たとえ暗号化されていても解読される可能性があります。フィッシング詐欺は、パスワードを盗もうとするハッカーにとって格好の攻撃経路となります。また、セキュリティ対策が不十分なサービスを利用している場合、侵害によってパスワードが平文で流出してしまう可能性もあります。こうした事例はこれまでにも数多く発生しています。
パスキーと2FAおよびMFA
パスキーは、長年利用されてきたセキュリティの慣習、すなわち二要素認証(2FA)や多要素認証(MFA)に反するため、扱いが難しいです。テキストメッセージからコードを入力したり、認証アプリから何かをコピーしたりする必要はありませんが、パスキーは本質的に多要素認証を使用しています。ただ、入力が非常に速いため、見落としやすいのです。
MFAとは、パスワードに加えてさらなる保護層を追加することです。パスワードだけでなく、例えばテキストメッセージで送られてくるコードも必要になります。パスキーは既にそのように機能しています。公開鍵と秘密鍵のペアを一致させるだけでなく、その秘密鍵にアクセスできることを認証する必要があります。2FAは一般的に「知っていることと所有していること」を前提としていますが、それでも2層の認証であることに変わりはありません。
Shikiar氏は次のように説明しています。「サインインすると、サービスは暗号化されたチャレンジを発行します。このチャレンジは、デバイス上の秘密鍵でのみ回答でき、スマートフォンやノートパソコンなどのユーザーが所有する情報、そして多くの場合、生体認証などのユーザー自身によって検証されます。その結果、フィッシングに強いログインが実現し、盗まれる可能性のある再利用可能な認証情報はありません。」
パスキーをサポートするデバイスとブラウザ
パスキーはオペレーティングシステムレベルで広く統合されています。パスキーをネイティブにサポートしていないOS(例えばLinux)をお使いの場合でも、パスキーは使用できます。ただし、スマートフォンなどの別のデバイスでQRコードをスキャンして認証するか、サードパーティ製のパスワードマネージャーを使用する必要があります。
パスキーを完全にサポートするオペレーティング システムは次のとおりです。
- Android 9以降
- iOS 16以降
- macOS 13 (Ventura) 以降
- Windows 10/11 23H2以降
これらのオペレーティングシステムはいずれも、ネイティブアプリとブラウザの両方でパスキーをサポートしています。Chromiumはパスキーをサポートしており、Brave、Opera、Vivaldi、Google Chromeなど、利用可能なブラウザのほとんどをカバーしています。Chromium非対応の主要ブラウザであるMozilla Firefoxも、バージョン122以降でパスキーをサポートしています。
パスキーの作成と保存方法
パスキーを使用するには、どこかに保存する必要があります。パスキーをサポートする主要なオペレーティングシステムには、既にパスキーを保存する機能が備わっていますが、どれも同じように機能するわけではありません。
Windows 10 と Windows 11
Windows 10 または Windows 11 でパスキーを使用するには、Windows Hello を設定する必要があります。インストール時に設定されている場合もありますが、そうでない場合は、設定アプリで「アカウント」>「サインインオプション」をクリックして有効にできます。パスキーを使用する際は、顔認証、指紋認証、PIN 認証など、Windows Hello による認証が必要になります。
Windows 10 または 11 バージョン 23H2 以降では、対応ブラウザ(またはネイティブ Windows アプリ)で対応サービスにサインインしようとすると、パスキーの入力を求められます。他のオペレーティング システムとは異なり、これらのパスキーはデバイス間で同期されません。パスキーは Windows デバイスでのみ機能します。
macOS
macOSとiOSはどちらもパスキーをiCloudキーチェーンに保存するため、キーチェーンがまだ有効になっていない場合は有効にする必要があります。設定アプリで「Apple ID」>「iCloud」>「パスワードとキーチェーン」の順にタップして有効にできます。iCloudキーチェーンを使用するには、Apple IDで2FAを有効にする必要があります。
Windowsと同様に、パスキーをサポートするサービスで新しいアカウントを作成するたびに、パスキーの作成を求められます。既に作成済みのアカウントにパスキーを追加する場合は、そのアプリケーションの設定から行う必要があります。Windowsとは異なり、これらのパスキーはiCloudキーチェーンにアクセスできることを前提として、複数のデバイスで使用できます。
macOS の新しいバージョン (バージョン 15 以降) では、専用のパスワード アプリを使用してパスキーを作成および管理することがはるかに簡単になりました。
iOS
iOSのパスキーはmacOSと同じ原則に従っています。パスキーはiCloudキーチェーンに保存され、デバイス間で同期されます。iOS 18以降では、専用のパスワードアプリでパスキーを管理できます。それ以前のバージョンでは、設定からパスキーを見つけることができます。
iOS(Jacob Roach経由)
iOS(Jacob Roach経由)
アンドロイド
Android 9以降のバージョンではパスキーがサポートされていますが、形式が異なります。AndroidのパスキーはデフォルトでGoogleパスワードマネージャーを使用します。GoogleパスワードマネージャーはGoogleアカウントに紐付けられ、デバイス間で同期されます。Android 14以降では、サードパーティのパスワードマネージャーなど、他の場所にパスキーを保存することもできます。
パスワードマネージャーのパスキー
Chrome(ジェイコブ・ローチ経由)
全てのデバイスでパスキーを使いたいなら、OSに関わらずパスワードマネージャーが必要です。優れたパスワードマネージャーのほとんどはパスキーをサポートしており、ほぼ全てのデバイスでパスキーを保存・同期できます。私は個人的に1Passwordを使用していますが、NordPass、Bitwarden、Dashlaneなどのサービスもパスキーをサポートしています。AndroidとiOSのパスワードマネージャーを使えば、パスキーを作成・保存できます。
PC、Mac、Android、iPhone、Web ブラウザー向けのお気に入りのパスワード管理アプリを使用して、ログイン情報をロックダウンします。
パスキーをサポートするアプリ
パスキーを保存および同期できる場所は限られていますが、サインイン用のパスキーをサポートするサービスは数多くあります。Microsoft、Adobe、Amazon、Google、Apple などが代表的なサービスですが、パスキーをサポートしていない Web サイトやアプリもまだ多数あります。
Googleで簡単に検索すれば、パスキーをサポートするアプリの完全なリストを掲載していると主張するディレクトリがいくつか見つかります。1Passwordもディレクトリを1つ保有しており、HankoやOwnIDなどのB2Bサービスも同様のディレクトリを保有しています。ただし、これらは完全なリストではありません。例えば、FacebookやInstagramのようなメタアプリは、2025年6月にパスキーのサポートを追加する予定であるにもかかわらず、リストには含まれていません。
私がこれまで出会った中で最高のディレクトリは、スウェーデンの非営利団体2factorauthのものです。GitHubでホストされ、常に更新され、コミュニティによって厳密に管理されています。私が見つけた中で最も最新のディレクトリで、アプリはカテゴリ別に整理されているので、例えばパスキーをサポートするVPNサービスを選ぶこともできます。
パスキーは(最終的には)パスワードに取って代わる
パスキーはパスワードの代替として開発されましたが、そこに至るまでには長く困難な移行の真っ只中にあります。あらゆるアプリ、デバイス、そしてオペレーティングシステムが新しい認証規格を採用し、私たちのデジタルライフのあらゆる場面で何十年も使い続けてきたモデルを捨て去る必要があります。
しかし、転換点はすでに到来しています。主要サービスがパスキーを採用しているため、最も重要なアカウントでパスキーを利用できるようになります。少なくとも、ソーシャルサインオン機能を使用している場合は、GoogleアカウントやFacebookアカウントなど、他のアカウントと連携しているアカウントでもパスキーを使用する価値はあります。
明らかなセキュリティ上の利点があるにもかかわらず、パスキーは(言葉遊びで恐縮ですが)セキュリティを向上させるためのターンキーソリューションではありません。Shikiar氏は次のように述べています。「パスキーは正面玄関のセキュリティを確保しますが、組織はオンボーディングやリカバリからセッション管理に至るまで、アイデンティティ管理プロセス全体を強化する必要があります。」
WIREDへの無制限アクセスでパワーアップ。 最高クラスのレポートと、見逃せない購読者限定コンテンツをお楽しみください。今すぐ購読を。
