ニューノーマル処方箋（第51回）パスワードがなくても認証できる！「パスキー」とは

　このように、パスワードにはさまざまな問題点が存在しますが、パスワードに置き換わる新たな認証技術として「パスキー（Passkeys）」というものが誕生しています。

　パスキーとは、パスワード不要の認証方法です。パスワードではなく、指紋や顔などの生体認証を用いて認証を行います。生体以外にも、4～8桁の数字を入力する「PINコード」、スマートフォンやタブレットの画面に特定の模様を描く「パターンロック」の認証にも対応しています。

　パスキーの仕様を策定したのは、パスワードへの過度の依存を減らすことを目的に設立された非営利団体「FIDO（ファイド）アライアンス」です。同団体は、パスワードからパスキーに切り替えることで、Webサイトやアプリへのサインインを「より速く、より簡単に、より安全にする」としています。

　パスキーを利用するには、Webサイトやアプリがパスキーに対応している必要があります。パスキー対応のWebサイト・アプリにログインした後、希望の認証方法を選択、指紋などの情報を端末に登録します。以降の認証はパスキーのみで行えるようになり、ID・パスワードの入力は不要となります。

　これによりパスワード入力の手間がなくなるため、従来よりも素早く、手軽に認証できるようになります。加えて、ログイン時にパスワードの入力を求められないため、誤ってフィッシングサイトにIDやパスワードを入力する恐れもなくなり、安全面での効果も期待できます。

　FIDOアライアンスのサイトでは、パスキーについて「ウェブサイトやアプリへのサインインを、より速く、より簡単に、より安全にする」「パスキーは常に強固でフィッシングに強い」と、そのメリットを強調しています。

「dアカウント」などさまざまなサービスに続々導入

　パスキーはさまざまなサービスに採り入れられており、すでに使用している人も多いでしょう。2023年4月にはNTTドコモが、同社の共通IDである「dアカウント」にパスキーを導入しました。同社ではもともとパスワードレスの認証を採用していたものの、利用の際には専用のアプリが必要でした。リニューアル後はアプリなしでも、ブラウザー上でパスキー認証するだけでサービスを利用できるようになりました。

　2023年9月には、Windows11にパスキーの管理画面が追加されました。同10月には、Googleの個人アカウントにて、パスキーがデフォルトの認証手段として使用されています。

　このようにパスキーの導入は徐々に進みつつありますが、決してパスキーが万能というわけではありません。例えば、PINコードを「1234」のようなシンプルな番号に設定していると、端末が第三者の手に渡った際、パスキーのロックを簡単に突破されてしまう危険性があります。

　かといって、桁を増やしたり複雑過ぎるコードに設定した場合、パスワードと同様に忘れたり、入力が手間になる恐れもあります。これでは、パスキーの良さである認証の速さが失われてしまいます。端末が対応しているのであれば、本人以外は解除しにくく、かつ入力の手間もない生体認証を利用するのが良いでしょう。

　パスワードはインターネットの黎明（れいめい）期から使われてきた、言ってみれば“レガシー”な認証方法です。パスキーは、そのアップデート版ともいえるでしょう。先に挙げたdアカウントのように、対応サービスは徐々に増えています。まずは身近なサービスで、パスキーを設定し、その使い心地を試してみてはいかがでしょうか。