パスワードの限界とパスキーの登場
パスワードは50年以上にわたりデジタル認証の標準でしたが、その限界は明らかです。ユーザーは何十ものパスワードを管理しきれず、使い回しや簡単なパスワードを設定してしまいます。フィッシング、ブルートフォース攻撃、データベース漏洩によるクレデンシャルスタッフィングなど、パスワードに起因するセキュリティ事故は後を絶ちません。こうした課題を根本的に解決するために登場したのが「パスキー(Passkeys)」です。
FIDO2/WebAuthnの仕組み
パスキーの技術基盤となっているのが、FIDO Alliance(Fast IDentity Online)が策定したFIDO2標準とW3CのWebAuthn(Web Authentication)仕様です。パスキーは公開鍵暗号方式を利用し、秘密鍵はユーザーのデバイスに安全に保存され、サーバーには公開鍵のみが保存されます。
パスキー認証の流れ
1. 登録時: デバイスが公開鍵と秘密鍵のペアを生成。公開鍵をサーバーに送信し、秘密鍵はデバイス内(Secure Enclave等)に保存
2. 認証時: サーバーがチャレンジ(ランダムデータ)を送信。デバイスが秘密鍵で署名して返送
3. 検証: サーバーが公開鍵で署名を検証。パスワードは一切送信されない
4. ユーザー確認: 指紋認証、顔認証、PINなどでデバイス上のローカル認証を実施
パスキーとパスワードの比較
| 観点 | パスワード | パスキー |
|---|---|---|
| フィッシング耐性 | なし(偽サイトに入力してしまう) | あり(ドメインに紐づくため偽サイトでは動作しない) |
| 使い回し | よくある(被害拡大の原因) | 不可能(サービスごとに固有の鍵ペア) |
| サーバー漏洩 | ハッシュ値が漏洩する可能性 | 公開鍵のみ保存(漏洩しても無害) |
| ユーザー負担 | 記憶・管理が必要 | 生体認証のみ(記憶不要) |
| 認証速度 | 入力に数秒〜 | 指紋・顔認証で1秒以下 |
パスキー対応サービス一覧(2026年版)
Apple、Google、Microsoftの三大プラットフォームがパスキーに対応し、急速に普及が進んでいます。ゲーマーにとって関連性の高いサービスの対応状況は以下の通りです。
- Google: 全Googleサービスでパスキー対応済み(YouTube、Gmail、Google Play等)
- Microsoft: Xbox、Outlook、Microsoft 365でパスキー対応済み
- Apple: Apple ID、iCloud、App Storeでパスキー対応済み
- Sony(PSN): 2025年後半よりパスキー対応開始
- Discord: 2025年よりパスキーによるログインに対応
- GitHub: 完全対応済み。パスキーのみでのログインが可能
- 1Password / Bitwarden: パスキーの保存・同期に対応
パスキーを設定する際は、必ず複数のデバイスにパスキーを登録するか、バックアップの認証手段(リカバリーコード等)を用意してください。デバイスの紛失・故障時にアカウントにアクセスできなくなるリスクがあります。
パスキーへの移行を始めよう
パスキーはパスワードレス時代の決定版とも言える認証技術です。フィッシングに対して根本的な耐性を持ち、ユーザー体験も向上します。対応サービスから順次パスキーを設定し、移行を進めましょう。当面はパスワードとパスキーの併用期間が続きますが、最終的にはパスキーが主流になることは間違いありません。今のうちに慣れておくことをお勧めします。
参考文献・出典
- FIDO Alliance - 「Passkeys: A New Era for Authentication」
- W3C - 「Web Authentication: An API for accessing Public Key Credentials」
- Google Security Blog - 「Passkeys: What they are and how to use them」
- Apple Developer - 「Supporting Passkeys」ドキュメント
- Verizon - 「2025 Data Breach Investigations Report」
