Malwarebytesはこのほど、「Android and Chrome start showing passwords the door」において、GoogleがAndroidおよびGoogleに次世代の認証方式標準である「パスキー(Passkeys)」をサポートしたと伝えた。パスキーに関する今回のアナウンスは、パスワードを巡る問題を解決する重要な一歩になると報告している。

  • Android and Chrome start showing passwords the door

    Android and Chrome start showing passwords the door

パスキーはパスワードに代わる認証方式とされており、より速くサインインでき、より簡単に使え、より安全とされている。いいことづくめとされているパスキーだが、普及が進んでいないとMalwarebytesは指摘。その原因として、パスキーの簡単さをうまく説明できていないからと説明している。

パスキーはそもそもパスワードとはまったく異なるものだという。公開鍵暗号方式が採用されており、2つの「鍵」のセットが必要とされ、1つは公開鍵でもう1つは秘密鍵だ。公開鍵および秘密鍵はユーザーによって生成され、公開鍵はサービス側に保存される仕組みになっている。サービス側はまずユーザーに署名データを送信し、ユーザーはそのデータを秘密鍵で暗号化して送り返す。サービスは受け取った暗号データをユーザーの公開鍵で復号できれば、公開鍵と秘密鍵の所有者が同一人物であることが証明される。

公開鍵暗号方式、つまりパスキーは秘密鍵が安全である限り、ユーザーは安全とされている。秘密鍵はスマートフォンやハードウェアキーなどユーザーが所有するデバイスに保存され、誰とも共有されずユーザーの手元から離れることはない。

長所がもりだくさんのパスキーだが、ユーザーがパスキーを導入する上で最も懸念している点も挙げられている。それは、秘密鍵や秘密鍵が入ったデバイスを紛失した場合はどうなるかということだ。

この懸念点に対する説明として、Googleの発表が引用されている。Googleの発表は次のとおり。

  • ユーザーは、Android デバイスでパスキーを作成して使用できる。パスキーは、Googleパスワードマネージャーを通じて複数端末間で安全に同期される
  • 開発者は、Androidやその他のサポートされているプラットフォームで、Google Chromeを使用するエンドユーザー向けのサイトでWebAuthn APIを介してパスキーをサポートしたサービスを構築できる

パスキーの同期により、秘密鍵の紛失が困難になっているとMalwarebytesは評している。パスキーは関連するすべてのデバイスが失われた場合においても復元可能とされており、Appleがキーチェーンを復元する機能に似ていると説明されている。

Malwarebytesは何年も前から、いつになったらパスワードが不要になるのか問い続けてきたとしており、このパスキーの登場によって一歩手前まできていると述べている。この次世代認証方式の利用が可能となった今、あらゆるユーザーに対してパスキーを利用させることが重要であると伝えている。