Androidで、マネーフォワードのパスキーを作成した画面
ただし、筆者がいろいろなサービスにパスキーを導入した時には、いくつかのサービスでエラーになったり、出るはずの「パスキー」のメニューがなかったりして、スマートフォンからは設定できないことも多かった。その場合は、PCで追加しよう。
パスキーに加え、二段階認証も有効に。全てのサービスで違うパスワードを
ただし、注意点もある。現状では、パスキーを登録したからといって、パスワードを即廃止することは難しいため、不正アクセスのリスクがなくなるわけではないのだ。パスキーに対応していないデバイスでの利用やデバイスを紛失した時のリカバリー方法として、パスワード機能も残している。そのため、企業側からアカウント情報が漏えいした場合、その情報を使われたら不正アクセスされてしまう。
初めに書いた通り、パスワードよりもパスキーのほうが、より安全でユーザーにとっても便利だ。今はパスワードを廃止するまでの過渡期なので、なるべく早く、たくさんの人にパスキーを導入してもらい、段階的にパスワードをなくしていくしかない。それまでは、パスキーに加え、従来通りの二段階認証を有効にしておくとさらに安心だ。
パスワードを覚えなくていいのだから、推測されにくい複雑な文字列にしてしまうのも効果的。他のサービスから漏えいしたIDとパスワードのリストを使い、総当たりでログインを試みるクレデンシャルスタッフィング攻撃対策として、すべてのサービスで異なる文字列を設定するのも肝に銘じておきたい。
とはいえ、パスキーを導入すれば、フィッシング詐欺に遭わなくなる、という安心感は大きい。すぐに、パスワードを覚えたり、入力したりする必要がない、という状況に慣れてしまい、手放せなくなること請け合いだ。
