パスキーの積極利用でセキュリティを強化します

新しい物好きな、メンヘラナマポおじさん（@MenhealerOjisan）です。

パスキー利用でセキュリティを強化

ここ数年、インターネットサービスのアカウント情報やセキュリティという項目で目にすることが多くなってきたパスキー。

パスワードの代わりに生体認証を設定して、他の人には不正アクセスできなくさせるものです。

以下引用。

今後、Webサービスから「パスワード」がなくなるかもしれない。

というのは、ここ2年ほどで「パスキー」と呼ばれる、スマホやPCのセキュリティ領域に保存した暗号鍵を用いた、より簡単かつ安全な認証方式が普及しつつあるからだ。

（中略）

ここ2年でパスキーに注目が集まったのは理由がある。

2022年5月にApple、Google、Microsoftの3社が、FIDOアライアンスとW3Cが策定した「パスキー（Passkeys）」への対応を発表したからだ。

もととなる認証方法のFIDO2をより利用しやすくし、大手3社のOSやブラウザがそろって対応を進めたことで、Webサービス各社もパスキー対応を急速に進めているというわけだ。

（中略）

パスワード認証の欠点

• どのPCやスマホからもログインできる
• メモや盗み見、キーロガーからカジュアルに盗める
• Webサービスから漏えいする恐れがある
• パスワードの使い回しで他のサイトでも被害にあう
• フィッシングサイト（偽サイト）にだまされると、IDとパスワードを入力した上で、SMS認証も入力できてしまう

　一方、従来のパスワードをパスキーに置き換えれば、認証時のリスクを大幅に下げられる。

パスキーでパスワードを置き換えた場合の利点

• ロック済みかつ、パスキーを持つスマホやPCしかログインできない
• セキュリティ領域の暗号鍵（秘密鍵）はカジュアルに盗めない
• Webサービスから暗号鍵（公開鍵）が漏えいしても不正アクセスできない
• パスキーは作成したWebサービスごとに異なる
• パスキーはフィッシングサイト（偽サイト）とは認証できない

パスキーだから完全に安全かというとそうではないが、不正アクセスを実行するには、本人の所持するスマホを入手する必要があるなど、かなりハードルが上がる。

https://www.itmedia.co.jp/mobile/articles/2403/04/news027.html

パスキーに対応しているサービス

私のパスワードマネージャーに登録されているパスキーは以下のものがありました。

• Amazon
• au one
• ebay
• Google
• メルカリ
• mixi
• ニンテンドー
• paypal
• Sony
• 東京電力
• Uber

ここで挙げたものは「パスキー」にあるものだけで、iphoneのface IDの生体認証ログインは銀行やSNSなどのアプリでも使われています。

終わりに

パスキーとface IDの違いがイマイチよくわかっていませんが、パスキー以上に広範囲に使っているのでiphoneなしにウェブサービスを使うのは大変だなと思います。