パスキーによるログインとは、従来のパスワードの代わりに、主に指紋認証や顔認証などの生体認証を使うログインのことです。
「もうパスワードを覚えなくていい?」パスキーを使った安全・安心・便利なログイン
サービス
私たちの日々の生活に欠かせないものとなった「パスワード」。
みなさんは、パスワードを何個くらい使っていますか? 同じパスワードを使い回す不安や、忘れてしまってリセットする手間に悩まされたことはないでしょうか。
これらの悩みを解決するのが、パスワードを使用しない「Passkeys(パスキー)」によるログインです。
LINEヤフーは2017年から、パスワードを使わない、より安全なログインの仕組みに取り組んできました。今回は、「パスキー」を使ったログインがより安全な理由や設定方法などについて、LINEヤフー研究所で研究開発を進めている大神に聞いてきました。
- 大神 渉(おおがみわたる)
- 2012年京都大学大学院情報学研究科知能情報学専攻修士課程修了。LINEヤフー研究所で認証技術の研究開発・標準化活動に従事。ACM、情報処理学会、電子情報通信学会各会員。
Passkeys(パスキー)とは?
――まず、「Passkeys(以下、パスキー)」を使ったログインはどのようなものか教えてください。
――これまで「パスワードレス」と呼ばれていたログインと、パスキーによるログインは、どのように違うのですか?
「パスワードレス認証」とは、そもそもパスワードを使わない方法を指すので、さまざまな認証方法が含まれています。たとえば、SMSで送られるワンタイムパスワードを使うと、パスワードを入力せずに認証されますが、これも広い意味でのパスワードレス認証の一部です。
一方、パスキーは、「FIDO認証」という、パスワードなしで安全にログインするための認証技術で使われる公開鍵と秘密鍵のペア、あるいは秘密鍵そのものを指すことが多いです。
また、パスワードレス認証とパスキーによるログインの大きな違いの一つは、生体認証の利用が容易なことです。
パスキーでは、たとえばスマートフォンのロック解除で使う顔認証や指紋認証の仕組みを、そのままウェブログインにも活用できる点が特徴です。
――パスキーによるログインは、パスワードを使ったログインより安全だと言われていますが、それはなぜなのでしょうか。
まず、パスキーは「公開鍵暗号方式」を使った認証方法(下図)です。公開鍵暗号方式では、ユーザーが大事にしまっておく情報である秘密鍵と、誰にでも見せても良い情報である公開鍵のペアを作成して利用します。
パスキーはユーザーのスマホなどのデバイスに保存され、サーバー側には公開鍵しか保存されません。公開鍵が仮に漏洩しても、対応する秘密鍵を持っていないとログインできない、というのが、パスワードを使ったログインよりも安全と言われる理由の1つです。
また、パスキーは基本的には利用するサイトのドメインやアカウントごとにユニークなものが生成されます。そのため、異なるサービスで同じパスキーを使い回すことがありません。
そのため、万が一ユーザーがだまされて異なるドメインのフィッシングサイトに誘導されても、攻撃者は目的とするサイトにログインするための情報を盗み出すことはできません。
これらの理由により、パスキーによるログインは、パスワードの漏えいやフィッシング詐欺のリスクを大幅に減らすことができるといえると思います。
――安全性以外のメリットはありますか?
パスキーはデバイスに保存されるため、長くて複雑なパスワードを作ったり覚えたりする必要がありません。
また、顔や指紋などの生体認証を使うことで、ログインが非常に素早く行えることもメリットです。
――ちなみに、1つのパスキーがあれば複数のサイトにログインできるのでしょうか...?
いえ、そうではなくて、サイトごとに異なるパスキーを作成する必要があります。
ただ、そのパスキーを使う前には、顔認証や指紋認証、PINコードなどの検証プロセスを経る必要があります。これらは、多くの方が普段スマホやPCで使っている認証方法なので、特別な手間はありません。
パスキーの管理は、スマホやPCといった「認証器」と呼ばれるデバイスが自動で行います。この仕組みにより、サイトごとに管理されているパスキーは、認証器で顔認証などの検証が成功すれば使用可能になります。
このように理解していただけると、少しわかりやすいと思います。
――「パスキーって何?」を一言で説明するのはちょっと難しいですね...。
たとえば指紋でいろんなところにログインできるとすると、指紋がパスキーそのものだと思ってしまいそうです。
実は、私の母からも同じような質問をされたことがあります。
パスキーを使うためのログインに指紋や顔認証を使っているので、そう思われる方は多いかもしれませんね。
――ちなみに、そのときはどう説明したのですか?
そのときは説明が難しくて、「そういうものだよ」と言ってしまいました...。
――(笑) では、これまで「秘密鍵」と呼んでいたものを「パスキー」と呼ぶように名前を変えたのはなぜですか?
「パスワードの代わりにパスキーを使いましょう」というフレーズが多くの人に響いた背景があるというのがひとつの理由だと思います。
たとえば「秘密鍵を作ります」と言われても、多くの方はピンと来にくいかもしれません。
でも、「パスキーを作ります。これはパスワードの代わりになり、安全に管理されます」と言えば、多くの方が「これまで自分で考えて設定していたパスワードが、自動的に安全な形で生成される」というイメージを持ちやすいのではないでしょうか。
――確かに、「パスワードではなくパスキーを使いましょう」という方が、「パスワードレスログインをしてください」と言うよりもシンプルで伝わりやすいのかもしれませんね。
そうですね。また、以前は、パスキーを管理するために専用の認証アプリをインストールするのが一般的でした。
ですが、最近はユーザーのパスワードを安全に保存し、必要なときに自動で入力してくれる「パスワードマネージャー」と呼ばれるものが普及しており、そのツールがパスキーも管理しています。
たとえば、Chromeなどのブラウザでパスワードマネージャーを開くと、さまざまなアカウントが一覧表示されますよね。以前はここにパスワードしか表示されていませんでしたが、最近ではパスキーもリストに表示されるようになっています。
このように、パスキーによるログインがより身近なものになってきたと思います。
参考)Chromeでパスワードの代わりにパスキーでログインする
◇パスキーのメリットまとめ
高い安全性
パスキーはユーザーのデバイス上で鍵のペアを生成し、サーバーには公開鍵のみが保存されるため、フィッシング攻撃による盗難のリスクが低い。サイトごとに異なる鍵が作成されるため、使い回しのリスクがない。
利便性
パスキーはブラウザやパスワードマネージャーによって管理されるため、ユーザーが覚える必要がない。生体認証(指紋認証や顔認証)を活用することで、ログインが迅速で簡単になる。
管理が簡単
認証器(スマホやPC)が各サイト専用の鍵を自動で管理し、ユーザーの負担を軽減。 パスワードマネージャーなどでパスキーが管理されるので、複数のデバイスで利用が可能。
パスキーの使い方
――では、まだパスキーを使っていない方がパスキーを利用したいと思ったら、まず生体認証を試すのが良いでしょうか?
はい、その通りです。たとえば、通常のパスワードでログインした後に「パスキーを登録しますか?」というメッセージが表示されることがあります。
このメッセージで登録を選んで普段画面ロックに利用している生体認証に成功すると、パスキーが自動的に作成されますので、まずは普段良く使っているアカウントから始めてみてもいいと思います。
Yahoo! JAPAN IDでもパスキーをご利用いただけますので、よかったら試してみてください。
※画面はサンプルです
――ただ、大切なパスワードをパスワードマネージャーに任せることにまだ不安を感じているユーザーもいらっしゃるのではと思います。使い方で気をつけたいポイントを教えてください!
そうですね。パスワードマネージャーを使う際に気を付けるべき点として、まず、その認証方法があります。
パスワードマネージャーの中には、個別のサイトのパスワードを入力する代わりに共通した1つのマスターパスワードを入力して他のパスワードを管理するものもあります。
そのため、パスワードマネージャーでパスワードを使う場合は、マスターパスワードは推測されにくいものに設定することが重要です。
ただ、最近は生体認証やパスキーを使ってマスターパスワードを使わない方法も増えてきました。たとえば、ChromeではTouch IDを使った指紋認証が利用可能です。
具体的な使い方のアドバイスとしては、普段よく使うアカウント、たとえばニュースを読むためだけのサービスへのログインなどは、パスワードマネージャーに任せて管理を簡単にする、というのも一つの方法です。
――ニュースサイトなどのパスワードを忘れてもすぐに再設定できますし、生活に大きな支障をきたすわけではないので、まずはそういったものからパスキーを使ってみるのは多くの方にとってやりやすいと思いました。
そうですね。そのようにまずパスキーを使ってみて便利だと感じたら、今使っているアカウントの価値を見つめ直すことも大切です。
「このサービスまでは任せて良い」とか、「このサービスはパスキーが利用できないからやめておこう」などの自分の基準を持つことは、デジタルリテラシーとして非常に重要だと思います。
今回紹介したパスキーは、パスワードに比べてフィッシング攻撃や漏洩に強い耐性のある技術です。
まだパスキーを使ったことがない方は、パスワードマネージャーに慣れてきたら、使いやすくてより安全なパスキーの利用も検討してみてください。
LINEヤフーのこれまでの取り組み
| 2014年 | 「FIDO Alliance(※)」スポンサーメンバーに加盟 ※パスワードレス認証を推進する業界団体として2012年7月に発足 |
|---|---|
| 2015年 | FIDO UAF 1.0認定取得 |
| 2017年4月 | パスワードを使わないログイン方法(SMS認証)の導入を開始 |
| 2018年5月 | 既存パスワードの無効化機能の提供を開始 |
| 2018年9月 | FIDO2認定を国内企業として初取得、10月に商用サービスに世界初導入 |
| 2021年2月 | AndroidやiOSのスマートフォンアプリやブラウザからの利用においては生体認証に対応 |
| 2021年9月 | 「パスワードレス個人認証の研究開発、国際標準化、並びに商用化」について「第69回電気科学技術奨励賞」を受賞 |
| 2021年12月 | PCブラウザからの利用においても生体認証に対応 |
| 2022年3月 | 「パスワードレス個人認証技術の研究開発、標準化、および、商用導入」について「情報処理学会業績賞」を受賞 |
| 2022年9月 | iPhoneの「パスキー」に対応 |
| 2022年10月 | iPad、Macの「パスキー」に対応 |
| 2023年4月 | 「パスワードレス個人認証方式の国際標準化と商用システム開発」について「科学技術分野の文部科学大臣表彰 科学技術賞(開発部門)」を受賞 |
| 2023年6月 | 「パスワードレス個人認証方式の国際標準化と商用システム開発」について「電子情報通信学会業績賞」を受賞 |
| 現在 | 2700万人以上のアクティブログインユーザーがパスワードレスログイン(SMS認証、生体認証)を利用中 |
関連リンク
取材日:2025年1月24日
※本記事の内容は取材日時点のものです
- LINEヤフーストーリーについて
- みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、WOWや!を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。