iPhoneやAndroidなどスマホを使っていると目につくようになったパスキー。
対応しているサイトがまだ少ないので広まっているとまでは言えませんが特定のサイトでアカウントとパスワードを入れる代わりに指紋や顔認証で出てきた鍵を選ぶと入れる方法。
Appleでの説明はこちら
iPhoneでパスキーを使ってWebサイトやアプリにサインインする
パスキーのセキュリティについて
仕組みを簡単にいうとこんな感じ。
2025.7.9訂正(鍵をサイトに渡す説明になっていたが渡しません)
キーと付いている通りそのサイト用に🔑と🔒を生成し🔑を指紋認証や顔認証で保護されている場所に保存してサイト側には🔒を保存。サインイン/ログインする時はサイト側からチャレンジコードというランダムな文字を端末側に送り、端末側はそれを自分が持ってる🔑で暗号化して返送。サイト側は自分が持っている🔒で暗号化を解除し、送ったチャレンジコードと同じか確認して認証する。
これによりアカウント(ID)やパスワードを入れる事なくサイトが使えて楽になります。
しかしちょっと注意が必要
あくまでも追加の認証方法だということ、端末は故障する可能性があること。
なんらかの不具合が起きた時のリカバリ手段が必要で、今のところ多くがアカウント+パスワード+2ファクタ認証を使っています。つまりパスワードを適切に保存し、2ファクタ認証を維持するために電話番号やメールアドレスを確認しておくことが必要です。
ちなみにサーバ側の🔒は公開キー方式というのを使っており、🔒がわかっても🔑を作るのはものすごく困難な仕組みになっていますので安全です。
蛇足の蛇足ですが、現時点でのコンピュータの性能ではほぼ無理という事。一部は量子コンピュータを使えばうんぬんと言われるようになり、新しい生成技術が取り入れられています。
個人的なおすすめ
アカウント&パスワード管理のソフトあるいは物理的な紙などを使って安全に保存。
2ファクタ認証に必要な電話番号、メールアドレスなどを更新。
指紋認証や顔認証などで使えるパスキー(Passkey)を便利に使う。
機種変更する時などに備えてクラウドを使ったパスキーの同期などを活用。
残念ながらサイト側の負担が大きいのでなかなか広まらない感じですが突然爆発的に広まると思いますので慣れておくと良いかもしれません。
google、Appleコミュニティ、Amazonなどでつかます。