Googleは個人のGoogleアカウント向けにパスキーを作成、使用できる機能の提供を開始した。パスキーを作成して利用する場合、ログイン時にパスワードや2段階認証は不要になる。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2023年5月3日(米国時間)、個人のGoogleアカウントにおける認証手段として「パスキー」の提供を開始したと明らかにした。
Googleアカウントにパスキーを追加すると、ログイン時やアカウントで機密性の高い操作をする際に、指紋、顔認識、またはローカルPINの入力が求められる。コンピュータやモバイル端末のロックを解除するのと同様の形でサインインできる。パスワードや二段階認証の入力、作業は不要になる。
Googleは、以下の理由からパスワード認証がユーザーに多くの責任を負わせるものであるとした上で、パスキーであれば、以下の問題を全て解決するのに役立つとしている。
パスキーはGoogleがFIDO AllianceとW3C WebAuthnワーキンググループで作成を支援したプロトコルおよび標準に基づいて構築されている。パスキーは標準を採用する全てのプラットフォームおよびブラウザで動作する。Googleアカウントのパスキーは、対応するあらゆるデバイスやサービスに保存可能だ。
Googleアカウントでパスキーを作成すると、デバイス側には暗号化された秘密鍵が保存され、対応する公開鍵がGoogleにアップロードされる。Googleアカウントにログインする場合、Googleは端末側に秘密鍵を使って署名するよう依頼する。ユーザーが生体認証などを通じて署名すると、Googleは保存された公開鍵を利用して署名を検証する。
パスワードとは違い、書き留めたり、誤って悪意のある人物に渡したりすることはない。つまり、パスキーは、フィッシングや、パスワードで陥りやすい再利用やデータ漏えい、不慮の誤操作からユーザーを守ることができる認証方式だ。
秘密鍵はデバイスにのみ存在し、場合によっては、作成したデバイスにのみ保存される(OSやパスワードマネジャーのようなアプリが、他のデバイスに同期させるケースもある)。秘密鍵と公開鍵の署名はGoogleのWebサイトやGoogleのアプリでのみ共有され、悪意のあるフィッシングユーザーなどには共有されることはない。つまり、パスワードやSMS認証コードのように、パスキーを使用する場所に気を配る必要はない。
署名は、「端末が秘密鍵を持っているので、あなたのものであること」「あなたがその場でロックを解除したこと」「あなたがGoogleにサインインしようとしていること」を示すものであり、フィッシングユーザーではないことを証明する。Googleに共有されるデータは公開鍵と署名情報だけであり、生体情報は含まれないという。またGoogleアカウントでパスキーを作成した場合、パスワードなどの既存の認証手段は、パスキーに対応していないデバイスを使用する場合など、万が一の場合に備えて引き続き利用できる。
Googleは、パスキーの利用は安全なログインを実現する業界横断的な取り組みの大きな一歩だとした上で、同社の取り組みをモデルに、他のWeb/アプリ開発者がパスキーを採用し、パスキーによる安全なログインが拡大することを望みたいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.