Appleが開発中のパスワード不要の「パスキー機能」ってなに?

現在、さまざまなウェブサービスで必須な情報として入力を求められるのがメールアドレスとパスワードだろう。本人確認のためにやむを得ないとはいえ、毎回入力するのが煩わしかったり、パスワードを忘れて再発行する羽目になったりしているが、アップルがパスワードの代わりにFace IDやTouch IDを使ってアカウント認証ができるようになる新しいパスキー機能を開発していることが判明した。

新しいオンライン認証技術・WebAuthnにもとづく安全性の高さがウリ

(Image:Hadrian / Shutterstock.com)

指紋認証を行うことで本人確認を行い、デバイス上にある秘密鍵による署名ができ、ログインできるようになる。これならパスワードの入力も管理も必要ない

 現在のパスワード認証方式は、覚えやすさを優先して「123456」などの推測されやすいパスワードを使ったり、パスワードの使いまわしをしたりなどの問題が起こりえる。かといって、これだけ多くのウェブサービスを利用するようになると、複数のパスワードを管理するのもはっきり言ってめんどくさい。しかし、データ漏洩のうち81%は推測しやすいパスワードの使用やパスワードが盗まれたことが原因とも言われており、セキュリティの脆弱性が指摘されていた。

 そこで、新しいオンライン認証技術の標準化を目指す非営利団体であるFIDO AllianceとW3Cは、「WebAuthn(ウェブオースン)」という新たなオンライン認証技術の標準化を推進。これはパスワード以外の方法でユーザー認証を行う仕様のことで、指紋認証や顔認証などの生体認証や「Yubikey」などのセキュリティデバイスを使ってサービスにログインできる。

 パスキーはこのWebAuthnに基づいた秘密鍵と公開鍵のペアのこと。認証の仕組みは、iPhoneやiPad、Macはアカウントの作成時に公開鍵と秘密鍵のペアを生成し、公開鍵をサーバーに送信。秘密鍵はユーザーのデバイス上で保存されており、指紋認証などで本人確認を行うと、秘密鍵でサーバーへ署名して返送することでログインが可能となり、サービスの利用ができるというわけだ。

この世に絶対安全はありえないが、今ある脅威を避けられるという点でパスキー機能の搭載は歓迎だ

 パスキー機能開発のニュースは、アップルのエンジニアであるギャレット・デビッドソン氏がWWDC 2021の開発者セッションで明らかにした。アップルはiOS 15とmacOS Montereyに、iCloudキーチェーンで管理されるパスキー機能を搭載することを予定しているそう。
 Face IDやTouch IDを使ってログインすること自体は現在でも可能だが、初回はIDとパスワードをブラウザに入力する必要がある。仕組みとしては、このIDとパスワードをiCloudキーチェーンに保存し、2回目以降はFace IDやTouch IDを使って呼び出しているだけで、そもそも脆弱性があるパスワード入力を行っていることには変わりない。そのため、WebAuthnに対応したパスキーの方が安全性は上だと言えるだろう。

 2018年にWebAuthnがウェブ標準の勧告候補となってから早3年。パスキー機能がようやく広がりを見せるが、完全なセキュリティなどはこの世に存在しない。WebAuthnが普及すればまた新たな問題やリスクが発生するだろうが、まずは多くのユーザーにとって利便性と安全性が向上するパスキー機能の普及を歓迎したい。

参考元:Appleがパスワード不要でFace IDやTouch IDだけでウェブサービスにログインできる「パスキー」機能を開発中【GIGAZINE

オトナライフ編集部
iPhone・Android・SNS・パソコン関連・キャッシュレス、QRコード決済など、さまざまな情報を独自の視点や切り口で発信するニュースサイト
X/Twitter:@otonalife
YouTube:OTONALIFE Ch

iPhone/Androidスマホやキャッシュレス決済、SNS、アプリに関する情報サイト[オトナライフ]

Appleが開発中のパスワード不要の「パスキー機能」ってなに?のページです。オトナライフは、【iPhone&AndroidiPhoneAppleFace IDTouch IDパスワードパスキーWebAuthn】の最新ニュースをいち早くお届けします。