パスキーは比較的新しい認証方式で、従来のパスワードよりも大幅に安全です。パスキーを使用すると、ユーザーはアプリやウェブサイトにログインするためにパスワードを入力する必要がありません。パスキーは、公開鍵暗号とユーザー検証方法(生体認証や PIN など)を活用してユーザーを認証することで、これを実現します。この方法では、フィッシングやハッキングの試みがあっても、個人情報は安全に保たれます。
どのユーザーに聞いても、複雑なパスワードに対処しなければならないことがどれほど面倒かを認めるでしょう。そして、IT スタッフのメンバーに聞けば、パスワードを忘れて変更が必要になるエンドユーザーへの対応がどれほど大変かが分かります。さらに、パスワードの変更と管理には IT スタッフの多くの時間が費やされ、その時間はもっと重要なタスクに充てられるはずです。
そこで登場するのがパスキーであり、Bitwarden にはパスキーのサポートが組み込まれています。
しかし、パスキーは本当にパスワードより安全なのでしょうか?
パスキーはパスワードより安全ですか?パスキーの普及を探る
パスキーの最初の種は 2018 年頃にまかれました。当時、Google、Microsoft、Apple は、本人確認を目的とした鍵交換プロトコルに重点を置いた、パスキー以前のシステムに取り組み始めました。こうした初期の試みは、フィッシング攻撃やその他のサイバーセキュリティ脅威に対抗する、より優れた方法が必要とされたことから生まれました。Apple がサポートを導入した後、iCloud キーチェーンにより、ユーザーは Apple デバイス間でパスキーを同期・保存できるようになりました。
その後 2019 年に、World Wide Web Consortium(W3C)、Apple、Google、Microsoft、Samsung などの協力により、パスキーの開発が本格的に始まりました。次のステップは、生体認証(顔認識や指紋など)を認証に活用し、盗まれやすい機密情報(パスワード)をユーザーが使用しなくて済むようにすることでした。これには、顔認識などの要素に基づく一意の鍵の作成が含まれます。パスキーは Android デバイスやコンピューターを含むさまざまなデバイスで設定でき、プラットフォーム間の互換性を確保できます。長期的には、パスキーはパスワードに代わるものとして設計されており、より安全で便利な認証方法を提供します。
パスキーが標準化され始めると、企業はそれを採用し始めました。Bitwarden などのパスワードマネージャーにも、パスキーを簡単に管理できるようにするため、パスキーを生成・保存する機能が搭載されています。ユーザーはパスワードマネージャー内にパスキーを安全に保存できます。パスキーを安全に保存することは、シームレスなアクセスに不可欠です。パスキーの作成と利用は、Bitwarden の ウェブ拡張機能とモバイルアプリで行えます。
パスキーとは何か、どのように機能するのか?
パスキーは公開鍵暗号に依存しており、秘密鍵はデバイス上に安全に保存され、公開鍵のみがウェブサイトと共有されます。思っているほど複雑ではありません。パスキーの仕組みは次のとおりです。パスキーに対応したウェブサイトやアプリに登録する際は、次の手順に従います。
デバイスのセットアップ - これはスマートフォンで行います。パスキーに対応したサイトやアプリに登録する際、モバイルデバイス(Android や iOS など)でセットアップするよう求められます。これには、顔認識などの要素に基づく一意の鍵の作成が含まれます。
鍵を確認する - 次に、セットアッププロセスを完了するために、顔認識または指紋認証で鍵を確認するよう求められます。このプロセスでは、生体認証を使用してデバイスをロック解除する場合があります。
パスキーを使用する - パスキーを設定すると、ログインを試みる際に、その鍵に関連付けられたウェブサイトやアプリが対応するパスキーを要求します。パスキーでログインするには通常、ユーザー名と生体認証のみが必要です。スマートフォンは生体認証データ(Face ID/Touch ID)に基づいて選択肢を提示します。生体認証がパスキー内に保存されている情報と一致すると、アクセスが許可されます。
パスキーの管理に役立つモバイルアプリやWeb拡張機能が利用できます。Webブラウザーでは、シームレスなログイン体験を実現するパスキー認証への対応が進んでいます。新しいデバイスを設定する際には、アカウントへのアクセスを継続できるようにパスキーを同期できます。
詳しくはパスキーの仕組みをご覧ください。
パスワードレス認証:新しい時代
私たちは、オンラインアカウントへのアクセスがこれまで以上に安全で便利になる、パスワードレス認証の新時代に入りつつあります。従来のパスワードでは、複雑な組み合わせを覚えたり、強力なパスワードを生成するためにパスワードマネージャーに頼ったりする必要がありました。一方、パスキー技術では、タッチや視線だけで認証できます。指紋認証や顔認証などの生体認証を活用することで、ユーザーはパスワードを入力することなく安全にログインできます。
この変化を後押ししているのは、従来のパスワードに関連するデータ侵害やセキュリティ上の脆弱性が増えていることです。ハッカーは脆弱なパスワードや使い回されたパスワードを悪用することに長けており、どれほど注意深いユーザーでもフィッシング攻撃や総当たり攻撃の被害に遭う可能性があります。パスキーでは、指紋や顔など「本人であること」による認証が必要になるため、攻撃者が不正アクセスすることははるかに困難になります。
パスワードマネージャーもこの新しい技術に対応するよう進化しており、ユーザーが残っているパスワードとともにパスキーを保存・管理できるよう支援しています。生体認証の利便性とパスキー技術の強固なセキュリティを組み合わせることで、ユーザーは複雑なパスワードを覚えたり保護したりする不安を常に抱えることなく、すべてのオンラインアカウントでシームレスかつ安全な体験を得られます。
パスキーはパスワードより安全ですか?
これは大きな疑問であり、もっともな問いです。サイバーセキュリティの脅威が増え続ける中、アカウントを可能な限り厳重に保護することは絶対に欠かせません。しかし、パスワードだけに頼ると、アカウントは総当たり攻撃やソーシャルエンジニアリングの手口に対して脆弱になります。
一般的に、パスキーはパスワードより安全であり、その理由はいくつか明確にあります。最大の理由は、ユーザーが簡単に破られる非常に脆弱なパスワードを使いがちであることです。これは、従来のパスワードシステムとパスキーの重要な違いのひとつです。多くのユーザーは最も手間の少ない方法を選びたがるため、7rfw#ZVnPa4^pPよりもpassword123と入力するほうがはるかに簡単だからです。ハッカーが狙いやすい標的を好むことを考えれば、従来のパスワードを使うユーザーを狙うのは当然です。
さらに、ユーザーは複数のアカウントやアプリで同じパスワードを使い回しがちです。つまり、ハッカーは一度成功するだけで、その使い回されたログイン情報に関連する複数のWebサイトやアプリにアクセスできてしまいます。このような使い方はデータ侵害のリスクを高めます。1つのパスワードが漏えいするだけで、複数のアカウント侵害につながる可能性があるためです。
パスキーは、各ログイン認証情報を強力かつ一意にする責任をユーザーに委ねないため、一般的に認証のためのより安全な選択肢とされています。各パスキーは作成者固有のものであり、秘密鍵はデバイス上で生成・保存されるため、パスキーで保護されたアカウントにアクセスする唯一の方法はそのデバイスを使うことです。
パスキーがパスワードより安全であるもう一つの理由は、キーボードやスマートフォンでパスワードを入力する必要がないことです。パスワードとは異なり、パスキーはフィッシングや総当たり攻撃によって盗まれる心配がありません。パスワードを入力しているときに、誰かが肩越しに見ている状況を想像してみてください。その人はそのパスワードを記憶し、悪用する可能性があります。パスキーでは、それは不可能です。悪意のある人物があなたのスマートフォンを盗んだとしても、生体認証を突破しなければパスキーを使用できません。一致する指紋や顔スキャンがなければ、アカウントやアプリには入れません。パスキーは一般的な脅威からユーザーを保護し、二要素認証の必要性を減らすため、パスワードよりも安全です。
パスキーは、時間をかけて従来のパスワードに置き換わるよう設計されており、人為的ミスの影響を受けにくく、そのためサイバー攻撃にも強い安全な選択肢を提供します。
パスワードレスの未来におけるパスワードマネージャーの役割
パスワードマネージャーは、集中型ストレージによってパスキーでより大きな役割を担うようになり、一部のマネージャーでは生体認証連携やユーザー確認などの機能も追加されています。そして、パスキーを一元的に保存できることで、さらに使いやすくなります。
すべてのアカウントをパスキー認証に設定していて、スマートフォンを紛失したとしたらどうしますか?パスワードマネージャーはそれらのパスキーを保存し、あるスマートフォンから次のスマートフォンへシームレスに同期できます。その際、パスワードマネージャーからスマートフォンへキーを安全に引き渡すには、生体認証が必要です。場合によっては、転送中のセキュリティを高めるため、Bluetoothの使用など、デバイス同士が物理的に近くにあることがパスキー転送に必要になることがあります。
パスキーの普及が進むにつれて、パスワードマネージャーはこの改良された認証機能との連携を進めていくでしょう。そうなれば、認証プロセスはより簡単で、より安全になります。
オンライン認証の未来
今後、オンライン認証の未来は真のパスワードレスへと向かい、オンラインアカウントを保護する標準として、パスキーが従来のパスワードに取って代わることが見込まれています。Google、Microsoft、Appleなどのテック大手が参加する業界団体であるFIDO Allianceは、パスキーの導入を主導し、より多くの企業やプラットフォームが複数のデバイスやオペレーティングシステムでパスキーをサポートできるようにしています。
パスキー技術は公開鍵暗号に基づいています。つまり、秘密鍵はデバイス上に安全に保存されたままで、Webサイトやアプリケーションには公開鍵のみが共有されます。この方法により、パスワードを送信または保存する必要がなくなり、データ侵害やセキュリティ上の脆弱性のリスクが大幅に低減されます。パスキーに対応する企業が増えるにつれて、ユーザーは複数の複雑なパスワードを管理したり、パスワードの使い回しを心配したりすることなく、すべてのデバイスでシームレスに認証できるようになります。
パスワードマネージャーはこの移行において引き続き重要な役割を果たし、かつてパスワードを管理していたのと同じくらい簡単に、ユーザーがパスキーを保存・管理できるよう支援します。パスキーが広く導入されることで、認証プロセスはより安全で使いやすくなり、フィッシング攻撃のような一般的な脅威にも強くなります。技術が進歩し、より多くの企業がパスキーの実装を取り入れるにつれて、デジタルプライバシーとセキュリティがこれまで以上に強化されるパスワードレスの未来というビジョンは、まもなく現実のものとなるでしょう。
パスキーを効果的に生成・管理するにはBitwardenを使用しましょう。