アカウントにログインしたりデバイスのロックを解除したりするたびに、その対象へのアクセス権限があることを証明する必要があります。これまで、その証明は主にパスワードという形を取ってきました。つまり、記憶しておくか、パスワードマネージャーに保管しておく必要がある秘密の文字列です。
パスキーがパスワードと異なるのは、アクセスが、お客様が物理的に所持しているもの――お使いのスマートフォン、ノートパソコン、またはセキュリティキーに保存された暗号学的トークン――に、フィンガープリントや顔の生体認証要素と組み合わせて結び付けられる点です。
この違いは、一般的に次のように説明されます。
- パスワード = 知っているもの
- パスキー = 持っているもの + お客様自身であること
どちらの方法でもアクセスは可能ですが、その実現方法は異なり、セキュリティと使いやすさに大きな影響を与える場合があります。
パスキーとは?
パスキーとは、お使いのデバイス上に存在するパスワードのようなもので、ログイン先のアカウントが暗号技術を使って検証できます。パスキーは、FIDO2標準(FIDO Alliance(新しいウィンドウ)が策定)とWebAuthn APIに基づいています。
このような仕組みです:
パスキーが作成されると、パスワードマネージャーが公開鍵と秘密鍵からなる一対の暗号鍵を生成します。
- 公開鍵は、登録先のサービスと共有されます。
- 秘密鍵は、お使いのパスワードマネージャーまたはデバイス上に保持され、そこから外に出ることはありません。
ログインを試みる際、サービスはランダムなチャレンジを発行します。お使いのデバイスはデバイス上の秘密鍵を使ってそのチャレンジに署名し、一致する秘密鍵でしか生成できない応答を作成します。次にサービスは、以前に保存された公開鍵でその署名を検証し、お客様が正当なアカウント所有者であることを確認します。
秘密鍵はデバイスの外に出ないため、フィッシングサイトがお客様をだましてそれを渡させることはできず、パスキーは本質的にフィッシング耐性があります。
セキュリティ比較: パスキーとパスワード
パスワードとパスキーのどちらを使うかは、さまざまな要因によって決まります。すべてのウェブサイトがパスキーを選択肢として提供しているわけではありません。しかし、対応しているウェブサイトでは、切り替えを検討する理由がいくつかあります。
パスキーがパスワードより安全と考えられているのは、秘密鍵がデバイスの外に出ないためです。偽のサイトでだまされたり、ネットワークトラフィックを盗まれたり、ブルートフォース攻撃を受けたりしても、秘密鍵を取得することはできません。秘密鍵はお使いのスマートフォン、コンピューター、またはセキュリティキーのドングル内に保持されます。PIN、フィンガープリント、または別の形式の2要素認証(2FA)でデバイスを保護し、信頼できる回復方法を用意していれば、パスキーは通常のパスワードよりも強力で、フィッシングに強いセキュリティセットアップを提供します。
| 機能 | パスキー | パスワード |
| 認証方式 | 公開鍵暗号方式(秘密鍵はデバイス上に保存) | ユーザーが記憶する秘密の文字列 |
| フィッシング耐性 | 高い | 低い |
| 回復オプション | デバイスのバックアップ、アカウント回復フロー | メールによるリセット、セキュリティの質問 |
| ユーザー体験 | 生体認証またはPIN | 手入力または自動入力 |
| 互換性 | 拡大中 | 普遍的なサポート |
| 使い回しの脆弱性 | サイトごとに常に一意 | 一般的な問題 |
パスキーの使いやすさとユーザー体験
パスキーを使うことには、セキュリティ上の利点に加えて、ほかにも次のようなメリットがあります。
- パスキーを使うと、認証フローが1回のタップまたはひと目の確認にまで短縮されるため、ログインが速くなります。パスワードを手動で入力したり、忘れたパスワードをリセットしたりする手間もなくなります。
- 多くのパスワードマネージャーは、パスキーをお客様のデバイス間で安全に同期できます。その結果、スマートフォンで作成したパスキーを、新たに登録し直すことなくノートパソコン、タブレット、または別のスマートフォンで利用できます。Proton Passはあらゆるプラットフォームやデバイスで動作するため、パスキーに対応したどのウェブサイトでもパスキーを使用できます。
パスキーの欠点と注意すべきケース
パスキーは強力なセキュリティと手間のないログイン体験を提供しますが、万能な解決策ではありません。パスキーの利用が課題となる状況も依然としていくつかあります。
デバイスの紛失と回復
パスキーが保存されているデバイスを紛失、盗難、または破損した場合、アクセスを取り戻すにはバックアップの仕組みに頼る必要があります。パスキーの回復には、多くの場合、予備のデバイスまたは回復フレーズが必要になるため、適切に設計された回復フローがないと、アカウントへのアクセスを失うおそれがあります。
普及のギャップ
一部のウェブサイトやアプリケーションでは、パスキーを支えるWebAuthn/FIDO2標準がまだ実装されていません。実装されている場合でも、パスキーのサポートが特定のエコシステムやオペレーティングシステムに限定されることがあります。
古いハードウェアの制限
古いスマートフォン、生体認証センサーのないノートパソコン、またはWebAuthnをサポートしていないブラウザなどのレガシーデバイスでは、パスキーを生成または保存できません。
どのような場合にまだパスワードが必要ですか?
フォールバックとしてパスワードをセットアップしておくことに加え、従来型のパスワードがプライマリーなアクセス方法として必要になる状況もあります。
1. パスキーをサポートしていないサイト
パスキーの普及が広がるまでは、一部のサイトでは引き続きパスワードに頼る必要があるかもしれません。この場合は、OTPなどの2要素認証をセットアップして、セキュリティを強化できます。
2. 公共または共有コンピューターを使う場面
お客様ご自身のデバイスを使っていない場合、パスワードを入力することで(理想的には2要素認証と組み合わせて)、認証情報を残さずに一時的なアクセスが可能になります。
3. 組織のポリシーとコンプライアンス要件
政府または金融の基準を含む企業の規則では、パスワード要素を引き続き含む多要素セットアップが求められたり、監査目的でパスワードの定期的な変更が義務付けられたりする場合があります。また、企業向けのシングルサインオン(SSO)ソリューションでは、パスキーがオプション要素としてのみ統合され、パスワードが引き続きプライマリーな認証情報となることがあります。
パスキーを導入する方法
パスキーへの切り替えは比較的簡単です。
- オペレーティングシステムでパスキーのサポートを有効にする
- パスワードマネージャーをダウンロードする
- Proton Passなど、パスキーの保存をサポートするパスワードマネージャーを選びます。
- パスワードマネージャーにパスキーを追加する
- 既存のパスキーをインポートするか、新しいものをアプリから直接作成します。
- サポートされているサービスでパスキーを登録する
- 「Sign in with Passkey」を提供しているサイトでサインアップまたはログインする際は、そのオプションを選択します。
- 回復方法をセットアップする
- パスキーのコピーを保存するために予備のデバイスを有効にし、サービスから提供される回復フレーズがあれば控えておきます。
FAQ
パスワードマネージャーがなくてもパスキーを使えますか?
はい、使えます。ほとんどの最新オペレーティングシステムでは、パスキーをローカルに保存できます(AppleデバイスのiCloud Keychain、AndroidのGoogle Password Manager、WindowsのWindows Hello)。専用のパスワードマネージャーを使うと、デバイス間の同期が簡単になり、追加のバックアップ層も提供されますが、パスキーの利用に必須ではありません。
古いデバイスでもパスキーを使えますか?
パスキーを利用するには、オペレーティングシステムとブラウザがWebAuthn/FIDO2標準をサポートしている必要があります。最新のプラットフォーム(iOS 15以降、Android 14以降、最近のmacOS、Windows 10 1903以降、最新のChrome/Edge/Firefox/Safari)なら、そのまま利用できます。古いスマートフォン、レガシーブラウザ、またはiOS 15以前 / Android 13以前のデバイスではそのサポートがないため、それらのデバイスではパスキーを使用できません。
パスキーと物理トークンの違いは何ですか?
パスキーは、デバイス上またはパスワードマネージャー内に保存され、お客様のデバイス間で安全に同期される認証情報です。物理トークン(たとえばYubiKey)は、デバイスに挿入して使う独立したハードウェアキーです。物理トークンはホストデバイス上に秘密鍵を保存しないため分離性に優れていますが、トークンを持ち運び、バックアップを管理する必要があります。どちらの選択肢も、パスワード不要でフィッシングに強い認証を提供しますが、パスキーは利便性と同期を重視し、物理トークンはハードウェアによる分離を重視します。
Windows PCでパスキーを使えますか?
はい、最新のWindows 10/11ビルドはWindows Hello経由でパスキーをサポートしています。設定で「Passwordless sign-in」を有効にすると、フィンガープリント、顔認証、または信頼されたプラットフォームモジュール(TPM)に保存された秘密鍵を解除するPINで、登録と認証を行えます。TPMは、多くの最新PC、ノートパソコン、一部のタブレットに内蔵されている、小型で改ざん耐性のあるチップです。その目的は、セキュリティ上重要な操作のためのハードウェアベースの信頼の基点を提供することです。
スマートフォンを紛失したらどうなりますか?
スマートフォンに唯一のパスキーのコピーしかない場合は、アクセスを回復するために事前設定済みのバックアップ方法が必要です。通常は、別のデバイス、パスワードマネージャー、またはサービスが提供する回復フレーズです。バックアップがない場合は、そのサービスのアカウント回復フローに従う必要があります。
