Android Weekly Topics

パスワードが必要のない世界「パスキー」やってきた

皆さん、パスワード管理はどうされていますか?

私は、1Passwordで管理していて、保存しているパスワードの数は500件を超えています。これだけの数になる理由は、Webサービスで同じパスワードを使い回しせずに変更するためです。Webサービス全盛の時代とはいえ、この数にはうんざりします。

このパスワードをなくす取り組みが進められており、トレンドはApple、Google、Microsoftがサポートを表明する「パスキー(Passkeys⁠⁠」です。

Googleは、2022年12月8日に「Google Chrome 108安定版」でパスキーをサポートしたとを発表しました。当然、Android版のGoogle Chromeにも実装されています。

Chromium Blog: Introducing passkeys in Chrome

パスキーってなに?

パスキーとは、パスワードなしでWebサービスなどログインできる仕組みで、これまでのパスワードに変わるものです。

これまでのパスワードは、フィッシングされたり流出する問題がありました。この対策として2段階認証などの防御策がありますが、安全のためとは言えログイン時に手間がかかるので、これが最良の策とは言えません。

パスキーは、Webサイトで初回登録を済ませれば、次回のログインからは登録時に決めた認証方法(顔や指紋認証、PINなど)でログインができます。これでサイトごとに用意したパスワードを入力する手間がなくなります。

パスキーは、安全に生成されたキーをWebサイトに提供するだけで、サイト経由でパスキーが漏洩する心配もありません。また、URLと紐付けてパスキーが管理されているので、フィッシングサイトで誤って入力する心配もありません。

認証の一般的な流れ

それでは、WebAuthn.ioを例にして、パスキーの生成から認証までの流れを説明していきます。利用したブラウザはGoogle Chromeです。

WebAuthn.io

サイトにアクセスすると、ユーザ名を入力するフィールドと「Register」「Authenticate」の青いボタンがあります。

初回は、ユーザ名を入力して「Register」をクリックします。するとパスキー生成確認のダイアログが表示されるので、⁠続行」をクリックします。

筆者はTouch ID付きのMacを使っているので、これを使ってパスキーを生成します。OS標準のTouch IDの認証ダイアログが表示されたら、Touch IDに指を置いてしばらく待ちます。

するとパスキーが生成されて、使っているGoogle Chromeのパスワードマネージャーにあるパスキーに保管されます。

これまでのように自分でパスワードを生成して保管する手間が省けます。おっかなびっくりで試してみましたが、使え慣れてしまえば非常に簡単です。

デバイスを使った場合の認証

「別の方法を試す」では、Androidデバイスを使った認証ができるので試してみます。

たとえば、手持ちのPixel 6 Proを指定すると認証手続きをする通知がされます。通知をタップするとパスキー生成の画面に遷移します。このタイミングでPixel 6 Proの画面内指紋認証を使ってパスキーを生成します。

生成したパスキーは、設定アプリの「パスワードとアカウント⁠⁠-⁠Google⁠⁠-⁠自身のアカウント名⁠⁠-⁠パスワードマネージャー」に保管されています。

認証時にPixel 6 Proを指定すると、パスキー生成時と同じように通知が行われ、これをタップすると指紋認証するダイアログが表示されます。ここで認証が通ればWebサイトにログインができます。

スマホでログイン認証ができるのは便利です。

ただ、いろいろな情報がスマホに集約されることに便利さを感じる反面、スマホをなくすと、今以上に面倒なことになるなと感じます。

対応サイトと対応アプリを待つばかり

肝心の対応サイトです。

取り組みが始まったばかりというのもありますが、筆者がよく使うWebサービスは対応してなさそうです。Googleのサービスもこれからのようですが、Yahoo!JAPANは対応をはじめています。

もうひとつ、パスワード管理に1Passwordを使っており、これの使い心地には満足しているので、引き続き使い続けると考えると対応を待つことになります。公式ブログでは、今夏にはパスキーへ対応すると書かれているので、この頃には筆者にもパスワードのない世界がやってきそうです。

Goodbye, passwords | 1Password

今週は、このあたりで、また来週。

おすすめ記事

記事・ニュース一覧