Malwarebytesは5月11日(米国時間)、「Google Passkey: How to create one and when you shouldn't」において、Googleが提供しているパスキーを利用するメリットと作成すべきでない状況があることを伝えた。
パスキーは、パスワードを使わずに、公開鍵と秘密鍵のペアを使用する認証方式(参考「Passkeys (Passkey Authentication)」)。公開鍵はアプリやWebサイトに保存され、秘密鍵はユーザーのデバイスに保存されるため、第三者に秘密鍵にアクセスされることはないとされている。フィッシングなどのサイバー攻撃に対して堅牢性を持ち、SMSワンタイムコードなどよりも高いセキュリティレベルがあると考えられている。
Googleパスキーを使用することで得られるメリットとして、以下が紹介されている。
- パスキーを使用すると、スマートフォンなどのデバイスでアクセスしたGoogleアカウントを他のデバイスでも利用できる。デバイスの近くにスマートフォンがあり、サインインが承認されていれば、デバイスへの同期は不要
- バックアップキーを使用することでパスキーを安全にバックアップでき、他のデバイスと同期させることができる。例えば、iPhoneで作成したパスキーは、iCloudアカウントにログインしていれば他のAppleデバイスでも使用できる
- パスキーはフィッシングや情報漏洩のリスクを低減する。盗まれても再利用できず、個人情報の漏洩も防げる
- パスキーは物理的なセキュリティキーの代わりにもなる。Googleはパスキーを非常に強力なセキュリティキーの代替として位置付けている
一方、パスキーを作成すべきでない状況についても言及されている。パスキーは個人のデバイスのみに作成し、学校や勤務先のアカウント、家族を含む他のユーザーと共有しているデバイスでの使用は避けるべきだという。デバイスに作成されたパスキーは、そのデバイスを使用する人なら誰でもアカウントにアクセスできる可能性があるため危険とされているからだ。
パスキーはGoogleだけでなく、AppleやMicrosoftも自社のプラットフォームでサポートがしている。これらの取り組みはセキュリティのリスクやユーザーの利便性の低下といった従来のパスワードの問題に対処するために行われており、パスキーを導入することでセキュアかつ簡単な認証体験を享受することができる。