パスキーを使えば、もうパスワードを覚える必要もない
パスキーを使えば、パスワードを使わずに認証できる。まずは、その仕組みを理解しておこう。パスキーは、FIDOアライアンスとW3Cが共同で企画された認証方法だ。「公開鍵暗号方式」を採用しており、「秘密鍵」と「公開鍵」の組み合わせで成り立っている。秘密鍵はスマートフォンやパソコンに保存され、外部に漏れることはない。公開鍵のみがウェブサイトに登録される仕組みだ。
ユーザーがログインしようとすると、ウェブサイト側は公開鍵を使って暗号化されたデータ(チャレンジ)をデバイス側に送信する。デバイス内の秘密鍵を使い、正しく解答できれば認証クリアとなる。要は秘密情報を外部に送信しなくても、秘密情報を持っていることを証明すればいいのだ。
この秘密鍵を使うためには、パスキーを登録したデバイスそのものが必要になるうえ、認証する際には生体認証やPINコードも求められる。この時点で、多要素認証となっているのでパスワード認証が不要になるのだ。その際の、生体認証データなどは外部に送信されないので、プライバシーを保護したまま認証できるのもポイントだ。
秘密鍵は正規サイトのURLだけで利用できるので、偽サイトからの認証要求には応答しない。もし、詐欺メールのURLを開いたとしても、パスキーが利用できないなら詐欺サイトだということがわかる。もし騙されていたとしてもログインできないし、何らかの方法でパスキーが流出したとしても、端末がないのだから不正アクセスされることがない。
こうした仕組みなので、パスワードやSMSに比べ、フィッシング詐欺への耐性が非常に高い。また、マルウェアをPCに感染させ、キーロガーという機能でパスワードの入力文字を盗み取る手口もある。パスキーであればそもそもパスワードを入力しないので、サイバー犯罪者の攻撃を回避できるのだ。
パスキーによる認証ステップ Pic by DOL
