パスキーとは?
パスキーは、パスワードに代わる簡単かつ安全にログインできる新たな認証方法です。
パスキーでは、ユーザーがログイン情報を覚えておく必要がなく、指紋認証や顔認証などの生体認証、PIN、パターンといった認証を行うだけで簡単にログインできます。
加えて、パスキーはパスワード マネージャーなどで管理できるため、同じユーザー アカウントでログインしているパソコンなど別のデバイスでも利用が可能です。
また、従来のパスワードによる認証では、ID とパスワードがわかれば、悪意のあるユーザーによるなりすましなどの不正行為が可能になってしまいます。
一方で、パスキーは公開鍵と秘密鍵の組み合わせで認証する「公開鍵暗号方式」を採用しており、サーバーには公開鍵しか保存されていません。秘密鍵はデバイスに保存され、取り出して認証に使うには生体認証や PIN などによる本人確認が必要となります。
認証におけるやりとりでは、電子署名という仕組みに基づく複雑な計算によって互いの鍵が正しいかの照合をするだけで、秘密鍵がサーバーに送られることはありません。
これにより、不正なアクセスから情報を抜き取られる心配がはるかに少なくなります。パスキーの公開鍵や秘密鍵は自動的に生成され、一つのパスキーにつき一つのサービスが登録されるため、使いまわしの心配もありません。
パスキーはセキュリティを安全に保ちながら、利便性も兼ね備えた認証方法といえます。
パスキーを使うメリット
ここからは、パスキーを利用するメリットを紹介します。
安全性が高い
前に紹介したとおり、パスキーはサービスごとに自動で生成されます。あるサービスのパスキーを別のサイトで使い回すことはできません。
そのため、従来のパスワードを用いた認証方法に比べて、偽のサイトに ID やパスワードを入力させることで情報を盗む「フィッシング詐欺」や、盗み取った ID とパスワードの組み合わせを他のサービス サイトで悪用する「クレデンシャル スタッフィング」といった攻撃への耐性があるとされています。
また、従来のパスワードは、鍵と推測される数字や文字列をすべて試して不正に認証しようとする「総当たり攻撃」に対して脆弱性がありましたが、パスキーによって自動的に作成される秘密鍵・公開鍵はとても長いため、総当たり攻撃で突破される可能性はまずありません。
覚える必要がない
パスキーで使う認証情報はデバイスに保存され、認証する際には、指紋認証、顔認証などの生体情報や PIN、パターンなどの画面ロックの解除方法で取り出します。そのため、文字や数字、記号からなる複雑な組み合わせを覚える必要はありません。ロック解除するだけで、ウェブサイトやアプリにログインできます。
ログインにかかる時間を短縮できる
繰り返しになりますが、パスキーを使ったログインは、生体認証や PIN などの入力だけで完了します。パスワードの入力や 2 段階認証も不要なため、パスワード認証よりもログインにかかる時間を短縮できます。
複数のデバイスで使える
パスキーの情報はユーザーアカウントに紐付けることができます。そのため、同じユーザー アカウントにログインしていれば、複数のデバイスでパスキーを使ったログインが可能です。
たとえば、同じ Google アカウントにログインしているデバイス間でパスキーを同期して、シームレスな認証が可能です。
Android スマホで Google アカウントのパスキーを設定する
ここでは、Android スマホで使用する Google アカウントにパスキーを設定する方法を紹介します。
なお、パスキーの認証情報はデバイスに保存されるため、他者と共有のデバイスでパスキーを作成すると、そのデバイスから、ご自身のアカウントにログインできる可能性があります。パスキーの作成はご自身が管理するスマホで行うようにしましょう。
パスキーの作成に必要なもの
Android でパスキーの作成に必要なものは以下のとおりです。ご自身の環境で利用できるか、確認しておきましょう。
- Android 9 以降を搭載したスマホ
- サポートされているブラウザ(例 Chrome 109 以降)
- 画面ロックの設定
詳しくはヘルプページのパスキーの作成に必要なものを確認するをご参照ください。
パスキーを作成する
Android スマホですでに Google アカウントにログインしている場合、そのアカウントには、自動でパスキーが作成されていることがあります。Chrome で g.co/passkeys にアクセスして確認しましょう。
「自動的に作成されたパスキー」にお使いのスマホの名前が表示されていれば、パスキーはすでに作成されており、パスキーを使ったログインができる状態です。
※アクセス時に本人確認を求められる場合があります。パスキーを作成したい Google アカウントでログインしてください。
自動的に作成されたパスキーがない場合は、次の手順で、手動でパスキーを作成してください。
- Chrome で Google アカウントのパスキー作成ページ g.co/passkeys を開きます
- [パスキーを作成] をタップします
- 「ログインにパスキーを使用できるようになりました」と表示されるので [完了] をタップします
パスキーの作成が終わったら、ログイン時に [パスキーを使用] をタップすると、パスキーを利用できます。
スマホを紛失したときはパスキーを削除する
パスキーを作成したスマホを紛失したり盗難に遭ったりした場合は、アカウントへの不正アクセスを防ぐために、パソコンなどの別のデバイスからスマホに紐づけられているパスキーを削除しましょう。パスキーの削除方法は、作成方法に応じて異なり、Google アカウントに紐付けたパスキーの場合は、以下の手順で削除できます。
【自動的に作成されたパスキーの場合】
- Google アカウントに移動します
- [セキュリティ] を選択します
- [お使いのデバイス] パネルで [すべてのデバイスを管理] を選択します
- 対象のデバイスを選び [ログアウト] を選択します
なお、同じデバイス名で複数のセッション(ログイン情報)が表示される場合、それらのセッションはすべて同じデバイスから行われた場合もあれば、複数のデバイスから行われた場合もあります。紛失したデバイスからパスキーを使ってアカウントへアクセスしないようにするために、対象のデバイス名のすべてのセッションをログアウトしましょう。
【手動で作成されたパスキーの場合】
- Google アカウントに移動します
- [セキュリティ] を選択します
- 「Google にログインする方法」パネルで [パスキーとセキュリティ キー] を選択します
- 削除したいパスキーの右の削除アイコン(✕)をタップします
より詳しい情報はヘルプセンターのパスキーを削除 / オプトアウトするをご覧ください。
安全性の高いパスキーをスマホで利用しよう
パスキーは、生体情報やパターンなどを使ってログインができる認証方法です。パスワード認証よりも安全性が高く、パスワードを管理する必要もありません。
パスキーの認証に必要な情報を取り出すには、本人認証が必要なうえ、サイトごとに異なる鍵が使用されるため、フィッシングやクレデンシャルスタッフィングといった脅威からアカウントを守ることができます。また、2 段階認証のプロセスも簡略化されるため、ログインにかかる時間が短縮されます。
安全性が高く、手軽な認証方式のパスキーを活用してみてはいかがでしょうか。
※本記事で紹介した内容は、Android のバージョンや機種によって異なる場合があります。
※本記事は、2024 年 5 月時点に Google Pixel 8(Android 14)で検証しました。
