パスキー (Passkey) は、従来のパスワードに代わる新しい認証方法で、生体認証 (顔認証/指紋認証) や PIN (暗証番号) などを用いて安全にログインすることができる仕組みです。
例えば、私が利用している銀行アプリはパスキーに対応しているため、iPhone の顔認証だけでログインすることができます。
1.銀行アプリを起動
2.顔認証でアプリにログイン
パスキーを利用すれば認証はこれだけで済み、ユーザーID/パスワードを入力する煩わしさが省かれます。
『そもそもパスキー使わなくても、顔認証で自動的にIDとパスワードを入力してくれるけど?』と思ったそこのあなた。
パスキーを使うメリットは顔認証による自動ログインだけではありません。
パスワードを利用しないということは、そもそも漏えいするパスワード自体が存在しないということです。
この安全性こそがパスキーの最大のメリットと言えます。
パスキーの仕組み
パスキーは「公開鍵暗号方式」を利用しています。
- サービス利用開始時: デバイス (例: スマートフォン) 内で「公開鍵」と「秘密鍵」のペアが自動生成され、「公開鍵」がサービス側に送信/登録される。
「秘密鍵」はスマートフォン内の専用のセキュリティ領域に安全に保存される。 - ログイン時: ユーザーがログインしようとするとサービス側はランダムなチャレンジ (ランダムデータ) を送信する。
- ローカル認証: ユーザーは顔認証などを使ってスマートフォン上で本人確認を行い、「秘密鍵」へのアクセスを許可する。
- 署名作成: スマートフォンは「秘密鍵」を使ってチャレンジにデジタル署名を生成する。
- 署名送信: 生成されたデジタル署名をサービス側に送信する。
- 署名検証: サービス側は登録済みの「公開鍵」を使ってデジタル署名を検証し、署名が一致すればログインを許可する。
サービス側には「公開鍵」のみが送信され、自分のスマートフォン内には「秘密鍵」が安全に保存されます。
このような仕組みのため、「秘密鍵」がインターネット上に流出することはありません。
パスワードとの違い
| パスワード | パスキー | |
| 認証方法 | 文字列を入力 | 生体認証や PIN など |
| 管理方法 | 覚える | デバイスおよびクラウド同期サービスが管理 |
| 安全性 | 流出する可能性がある | 流出リスクが極めて低い |
| 利便性 | サービス毎に覚える必要あり | 覚える必要なし |
パスキーのメリットとデメリット
パスキーのメリット
- パスワードを覚える必要がない
- 生体認証などで迅速なログインが可能
- パスワード漏えいリスクがない (そもそも漏えいするパスワードがない)
パスキーのデメリット
- 一部サービスや古いシステムでは未対応の可能性あり
- デバイス紛失時、クラウド同期がない場合は復旧が困難な場合あり
