パスワードは面倒だ。覚えておくことが難しいだけでなく、重要なアカウントを守るために、常に進化するサイバーセキュリティの“もぐら叩き”に付き合わなければならない。
そこで登場するのがパスキーである。この2年で、いわゆる“パスワード戦争”が激化した。グーグル、マイクロソフト、アップルといった大手企業がパスワードを使わずに済む未来を実現しようと取り組みを進めてきたのだ。これは「世界のパスワード依存を減らす」ことを目指し、10年以上にわたり活動を続けているFIDOアライアンスの掲げている構想でもある。
好きかどうかにかかわらず、いずれ誰もがパスキーを作成するよう促されるだろうし、すでに作成している人もいるかもしれない。それはよいことだ。パスキーは従来のパスワードよりはずっと使いやすく、安全性も高い。ここでは、パスキーを使うために知っておくべきことをすべて解説する。
パスキーとは何か?
パスキーは、長く複雑なパスワードを使用しなくても本人確認ができる仕組みである。さらに、フィッシングや辞書攻撃といったパスワードへの一般的な攻撃手法にも強い。
「パスキーは、パスワードと時代遅れになっている二要素認証を完全に置き換えるためにつくられました」と、FIDOアライアンスのエグゼクティブディレクター兼最高経営責任者(CEO)のアンドリュー・シキアーは『WIRED』に語る。パスキーはサイバーセキュリティにおける久しぶりの進歩であり、従来の手法よりも簡単に使えるうえ、安全性も高い。
パスキーにもさまざまな使い方があるが、最も一般的なのは自分のデバイスで使う方法である。たとえば、新しいデバイスでGoogle アカウントにサインインしたいとき、パスワードを入力する代わりに、すでに認証済みのデバイスを使ってログインすることができる。スマートフォンをパスキーとして使えば、パスワードを入力せずにGoogle アカウントへ即座にアクセスできるのだ。パスキーが最適に実装されている場合は、ユーザー名の入力さえ不要である。
パスキーがパスワードより安全で便利なのは、その仕組みが根本的に異なるからである。パスワードはサイバーセキュリティの世界でいうところの「共有された秘密」だ。つまり、利用者も利用先のサービスも「秘密」を知っている。しかし問題は、その秘密を利用者が覚えておかなければならないことと、サービスと共有する仕組みであることから、ユーザー自身が完全には管理できない点にある。データ侵害が起こり、攻撃者がパスワードにかけられた暗号化の解読に少し時間をかけるだけでアカウントを乗っとられてしまう可能性があるのだ。ユーザーに何の落ち度がなくても被害に遭ってしまうのである。
一方のパスキーは、公開鍵暗号方式を利用している。共有された秘密を照合する代わりに、公開鍵と秘密鍵というペアを照合する仕組みとなっている。公開鍵は誰でも見ることができるが、秘密鍵はユーザーだけがアクセスできる。本人しか秘密鍵にアクセスできないことから安全性が高く、その鍵は通常、自分の所有するデバイスに紐付けられているので使いやすい。また、そのデバイスは生体認証で保護されている。
万が一デバイスを紛失したり盗まれたりしても、作成したアカウントを使ってパスキーを復元することが可能だ。たとえば、グーグルのデバイスでは、Google パスワード マネージャーにパスキーを保存し、デバイス間で同期することができる。WindowsとiCloud キーチェーンはそれぞれのOSでしか使えないが、それぞれマイクロソフトとアップルのアカウントに紐付けられている。
パスキーの安全性
無作為な文字列の長いパスワードよりも、パスキーのほうが安全である。パスキーでサインインするとき、利用するサービスに送られるのはごくわずかな情報だけだ。これには自分をユーザーとして表す公開鍵が含まれているが、この情報自体には何の効力もない。
パスキーを作成したデバイス上では、秘密鍵を利用できるかどうかを確認するための「チャレンジ」が実行される。多くの場合、これは生体認証のかたちを取る。このチャレンジに成功すると、秘密鍵を使って署名が生成され、その結果がログイン先のサービスに送られる。サービス側では、その署名が公開鍵と照合され、一致すればアクセスが許可される。重要なのは、この一連の認証処理が遠くのサーバーではなく、自分のデバイス上で実行される点だ。
パスワードの場合、攻撃者に盗まれる余地がある。データ侵害によってパスワードが流出する可能性があり、暗号化されていても解読されてしまう危険があるのだ。パスワードを狙う攻撃者にとってフィッシング詐欺は常套手段である。セキュリティ対策の甘いサービスを利用していれば、侵害時にパスワードが平文のまま流出することさえあるのだ。実際、こうしたことが過去に何度も何度も発生している。
パスキーと二要素認証および多要素認証との比較
パスキーがわかりにくいのは、長年使われてきた一般的なセキュリティ方式、すなわち二要素認証(2FA)や多要素認証(MFA)とは一見まったく異なる仕組みに見えるからだ。テキストで送られたコードを入力したり、認証アプリからコードを転記したりする必要はないものの、パスキーも本質的には多要素認証を利用している。ただ、それが非常に素早く実行されているので、気付きにくい。
MFAでは、パスワードだけでなく、もうひとつ別の保護の仕組みが追加されている。パスワードだけでなく、たとえばSMSで送られてきたコードの入力も必要になるということだ。パスキーも実は、それに近いかたちで機能している。公開鍵と秘密鍵のペアを照合するだけでなく、その秘密鍵を利用できる本人であることも証明する必要があるからだ。その際には多くの場合、生体認証が使われる。2FAは本人だけが「知っているもの」と「もっているもの」を組み合わせる仕組みであると説明されることが多い。それとは少し異なるものの、パスキーも二重の認証の仕組みを備えている点では同じである。
シキアーは次のように説明している。「サインインの際、サービスは暗号学的なチャレンジを発行します。それに答えられるのは、あなたのデバイス上にある秘密鍵だけです。この秘密鍵は、あなたがもっているもの(スマートフォンやノートPCなど)と、多くの場合はあなた自身を示すもの(生体認証など)によって本人かを証明します。その結果、再利用可能な認証情報が存在せず、フィッシングにも強いログイン方法が実現するのです」
パスキーに対応しているデバイスとブラウザ
パスキーはOSレベルで広く実装されている。標準でパスキーに対応していないOS(たとえばLinux)を使っていても利用は可能だ。ただしその場合は、スマートフォンなど別のデバイスでQRコードを読み取って認証するか、サードパーティ製のパスワードマネージャーを使う必要がある。
パスキーに完全対応しているOS:
- Android 9以降
- iOS 16以降
- macOS 13(Ventura)以降
- Windows 10/11 バージョン23H2以降
これらのOSはいずれも、ネイティブアプリだけでなくブラウザでもパスキーに対応している。Chromiumもパスキーに対応している。つまり、Chromiumを基盤に構築されているBrave、Opera、Vivaldi、Google Chromeといった主要ブラウザの多くも対応しているということだ。Chromium系以外の主要ブラウザであるMozilla Firefoxも、バージョン122以降でパスキーに対応している。
パスキーの作成と保存方法
パスキーを使うには、それを保存する場所が必要となる。パスキーに対応している主要なOSにはすでに保存機能が備わっているが、その仕組みはOSによって異なる。
Windows 10およびWindows 11でパスキーを利用するには、Windows Helloを設定する必要がある。インストール時に設定している場合もあるが、そうでなければ「設定」アプリで[アカウント]>[サインインオプション]を選んで有効化できる。パスキーを使う際は、顔認証、指紋認証、PINのいずれかでWindows Helloによる認証が求められる。
Windows 10または11のバージョン23H2以降では、パスキー対応ブラウザまたはWindowsのネイティブアプリ経由で、パスキーに対応しているサービスにサインインしようとすると、パスキーの利用を促される。ほかのOSと異なり、これらのパスキーはデバイス間で同期されない。利用できるのは、使用しているWindowsのデバイス上だけである。
macOSとiOSはいずれも、パスキーはiCloud キーチェーンに保存される。したがって、キーチェーンが有効になっていない場合は有効にする必要がある。「設定」アプリで[Apple ID]>[iCloud]>[パスワードとキーチェーン]の順に進んだ画面で有効化できる。また、iCloud キーチェーンを利用するにはApple IDの二要素認証を有効にする必要がある。
Windows同様、パスキーに対応しているサービスで新しいアカウントを作成する際、パスキーの作成を促される。既存のアカウントにパスキーを追加したい場合は、そのアプリケーションの設定から追加する必要がある。Windowsとは異なり、iCloud キーチェーンにアクセスできる環境であれば、これらのパスキーはデバイス間で共有することが可能だ。
新しいバージョンのmacOS(バージョン15以降)では、専用の「パスワード」アプリを使うことで、パスキーをより簡単に作成と管理ができるようになった。
iOSにおけるパスキーの仕組みはmacOSと同じである。パスキーはiCloud キーチェーンに保存され、デバイス間で同期される。iOS 18以降では専用の「パスワード」アプリでパスキーを管理できる。それ以前のバージョンでは「設定」アプリ内から確認できる。
Android 9以降はパスキーに対応しているが、その形式は少し異なる。初期設定でパスキーはGoogle アカウントに紐付いたGoogle パスワードマネージャーに保存され、デバイス間で同期される。Android 14以降では、サードパーティ製のパスワードマネージャーなど、別の場所にパスキーを保存することも可能だ。
OSを問わず、すべてのデバイスでパスキーを利用したい場合には、パスワードマネージャーを使う必要がある。主要なパスワードマネージャーの多くはパスキーに対応しており、ほぼすべてのデバイスで保存と同期が可能だ。わたしは1Passwordを利用しているが、NordPass、Bitwarden、Dashlaneといったサービスもパスキーに対応している。AndroidやiOSでも、パスワードマネージャーを使えばパスキーの作成と保存ができる。
パスキーに対応しているアプリ
パスキーの保存・同期をする方法は限られているが、サインインでパスキーを利用できるサービスは増えてきている。代表的なものにはマイクロソフト、アドビ、アマゾン、グーグル、アップルのサービスなどがあるが、まだパスキーに対応していないウェブサイトやアプリも少なくない。
グーグルで軽く検索すれば、パスキー対応アプリを一覧表示しているディレクトリを見つけることができる。1Passwordが管理しているもののほか、HankoやOwnIDといったB2Bサービスが公開しているものもある。ただし、これらは網羅的なものではない。たとえば、メタ・プラットフォームズ運営のFacebookやInstagramは2025年6月にパスキー対応を追加したにもかかわらず、こうした一覧には掲載されていなかった。
わたしが見つけたなかで最も充実していたディレクトリは、スウェーデンの非営利団体2factorauthが作成したものである。これはGitHub上で公開され、継続的に更新されている。特に重要なのは、これがコミュニティによって管理されている点だ。常に最新の情報が反映されている。また、アプリはカテゴリーごとに整理されているので、たとえばパスキー対応のVPNサービスを探すといった使い方もできる。
パスキーはいずれパスワードを置き換える
パスキーはパスワードを置き換えるためにつくられたが、実際にそうなるまでにはしばらく時間がかかるだろう。あらゆるアプリ、デバイス、OSが新しい標準の認証方式を採用し、人々が数十年にわたりデジタル生活で使い続けてきた旧来の方式と決別する必要があるからだ。
しかし、転換点は訪れつつある。主要なサービスがパスキーを導入したことで、人々が最も利用しているアカウントの多くでも利用できるようになったのだ。少なくとも、ほかのサービスに接続しているアカウント、たとえばソーシャルサインオン機能として使用されるGoogleやFacebookのアカウントには、パスキーを導入する価値がある。
パスキーには明確なセキュリティ上の利点があるものの、“完璧な解決策”というわけではない。「パスキーは正面玄関を守りますが、サービス側はユーザー登録からアカウントの復旧、セッション管理に至るまで、ユーザー認証にまつわるすべての側面を強化する必要があります」と、シキアーは指摘している。
(Originally published on wired.com, translated by Nozomi Okuma, edited by Mamiko Nakano)
※『WIRED』によるパスキーの関連記事はこちら。
雑誌『WIRED』日本版 VOL.57
「The Big Interview 未来を実装する者たち」発売中!
気鋭のAI研究者たちやユヴァル・ノア・ハラリが語る「人類とAGIの未来」。伝説のゲームクリエイター・小島秀夫や小説家・川上未映子の「創作にかける思い」。大阪・関西万博で壮大なビジョンを実現した建築家・藤本壮介やアーティストの落合陽一。ビル・ゲイツの回顧録。さらには不老不死を追い求める富豪のブライアン・ジョンソン、パリ五輪金メダリストのBガール・AMIまで──。未来をつくるヴォイスが、ここに。グローバルメディア『WIRED』が総力を結集し、世界を動かす“本音”を届ける人気シリーズ「The Big Interview」の決定版!!詳細はこちら。