パスワードに代わる認証方式「パスキー」に関する7つの誤解 1Passwordが解説：パスキー忘れたらログインできない？

1Passwordは、パスワードを必要としない認証方式として注目される「パスキー」の仕組みに関する7つの誤解を公式ブログで紹介した。

[＠IT]

　1Passwordは2023年3月16日（米国時間）に公式ブログで、パスワードに代わる安全な認証方式として注目される「パスキー」について、7つの誤解を解説した。

パスキーにまつわる7つの誤解

誤解1：パスキーの裏にはパスワードがある

　多くの人々は、デバイスのロックを解除したり、お気に入りのオンラインアカウントにアクセスしたりするために、生体認証を利用している。だが、生体認証があったとしてもパスワードが不要になるわけではない。

　一方、パスキーは、従来のパスワードの代わりに公開鍵と秘密鍵を利用して本人であることを確認する技術である「Web Authentication API（WebAuthn）」を活用している。パスキーの利点は、秘密鍵を共有せず、公開鍵を利用して認証する点にある。つまり、攻撃者が公開鍵のみを入手しても役に立たないというわけだ。

　もし全てのパスキーの裏側にパスワードがあった場合、アカウント所有者に対してフィッシング詐欺することでアカウントを奪えてしまう。しかし、パスキーは平文のパスワードや、秘密を共有することでユーザーをだましたり、攻撃者が傍受したりすることはないため、フィッシング詐欺に対して強力だ。そのため、パスキーは従来のパスワードよりも安全な認証手段の一つといえる。

誤解2：パスキーでログインするにはBluetoothが必要

　パスキーを使った認証やログインにおいて、Bluetoothが必要だと説明しているWebサイトがある。Bluetoothを利用するのは、Apple、Google、Microsoftのいずれかのソリューションを使用してパスキーを作成し、他社のエコシステムに属するデバイスからパスキーにアクセスする必要がある場合のみだ。

　具体的には、Android端末でGoogleのパスワードマネジャーを使用してパスキー付きのオンラインアカウントを作成し、同じアカウントにWindows PCからアクセスしたいときだ。こうしたケースでは、Windows PCとAndroid端末が物理的に近くにあることを確認するため、Bluetoothが必要となる。同じデバイスを使用しているか、デバイス間でパスキーを同期するソリューションを利用している場合、Bluetoothは不要だ。

誤解3：全アカウントにアクセスに必要なパスキーは一つのみ

　パスキーは全てのアカウントのロックを解除できるマスターキーではないため、アカウントごとにパスキーを作成する必要がある。とはいえ、パスキーの場合、手動で何かを作成する必要はない。認証ソフトウェアが公開鍵と秘密鍵のペアを含むパスキーを自動生成するからだ。秘密鍵の長さやランダム性が十分かどうかを心配する必要もなく、パスキーを覚えたり打ち込んだりする必要もない。

　秘密鍵はデバイスに保存され、アカウントにログインする際に自動的に利用される。パスキーによる認証はバックグラウンドでシームレスに処理される。

誤解4：携帯電話を盗まれると、即座にパスキーにアクセスできる

　携帯電話がもし盗まれたとしても、まずは携帯電話のロックを解除する必要がある。生体認証や強力でユニークなパスワードなど、推測が難しい方法で携帯電話を保護した場合、攻撃者はパスキーにアクセスするのが難しくなる。

　また秘密鍵のデータは事実上侵入不可能なTPM（Trusted Platform Module）に保存されている。もし携帯電話を盗まれたとしても、パスキーは保護されるので安全だと1Passwordは説明している。

誤解5：パスキーが入った端末がないと、アカウントにログインできない

　職場に到着して、全てのパスキーが入った携帯電話を忘れてきた場合、全てのアカウントにログインできないと心配になるかもしれない。だが、Apple、Google、Microsoftはそれぞれクラウドベースのストレージサービスを使用して、デバイス間でパスキーを同期させている。そのため、iPhoneを利用してパスキーを作成し、同期機能を有効にしていれば、iCloudを通じて他のAppleデバイスでも同じパスキーにアクセスできる。

　図書館でWindows PCを使用する必要があり、iPhoneを忘れてしまったという場合は、Webサイトからマジックリンク（即座にログインできるワンタイムリンク）を指定したメールアドレスに送信して、マジックリンク経由でログインするという第2の選択肢もある。

誤解6：パスキーが入ったデバイスを紛失したら、アカウントにアクセスできなくなる

　もし、同期せずにパスキーが入ったデバイスを紛失したら、パスキーは失われてしまうが、マジックリンクのようにアカウントにアクセスする別の手段を使用してログインできる。ログインできれば、新たなパスキーを作成することで、パスキーによるログインが可能になる。

　シンプルでストレスを少なくするためにも、デバイス間でパスキーを同期させることが重要だ。Apple、Google、Microsoftは、いずれもそれぞれのエコシステム内でパスキーを同期させることを提案している。

誤解7：生体認証が漏えいすると、パスキーは脆弱（ぜいじゃく）になる

　パスワードと違って、顔や指紋は変えることができない。そのため、生体情報を盗まれて、パスキーに悪用されるのを心配する人もいるかもしれない。実際、研究者は、一部のAndroid端末が、端末の持ち主の高画質写真にだまされることを証明している。

　そうした背景もあり、iPhoneのような深度センサーを搭載したカメラや3Dマッピング技術を搭載したAndroidデバイスが増えている。深度マッピングは、端末が持ち主の顔写真を数学的表現に変換し、ローカルに保存する仕組みで、インターネット上に送信されることはない。

　Appleデバイスの場合、機密データを保護、処理するために特別に構築されたコンポーネントであるSecure Enclaveを活用し、暗号化された生体データを保存している。生体認証を提供するアプリは、Secure Enclaveに保存されているデータと生体情報が適合するか検証し、検証結果を利用する形で生体認証を実現している。

　つまり、攻撃者はデバイスに物理的にアクセスした上で、持ち主の顔や指紋を完璧に再現する必要がある。両方を実現するのはとてつもなく難しいことであり、Secure Enclaveのようなコンポーネントに侵入する可能性も極めて低いため、大多数の人にとって安全だと1Passwordは説明している。