「一生ログイン不可」の可能性も？ パスキーがパスワードより面倒な3つの理由：861st Lap

ここ数年で急速に普及した「パスキー」。指紋や顔認証で簡単にログインでき、フィッシングにも強い一方で、あるエンジニアは「パスワード以上に不自由」だと言う。著名なエンジニアが指摘する3つの欠点とは。

[キーマンズネット]

　ここ数年で急速に普及した新しい認証方式「パスキー」。指紋認証や顔認証を使えば、デバイスに触れるだけでログインでき、長く複雑なパスワードを覚えたり入力したりする必要もない。フィッシング対策にも強く、「パスワードの時代は終わった」とさえ言われるほどだ。GoogleやApple、Microsoftといった大手テック企業も、主要サービスやアプリでパスキー対応を進めている。

　だが、ある著名なエンジニアは自身のブログで、「パスキーには実用面で多くの欠点がある」と指摘した。その中でも特に、パスワードより“不自由”に感じられる3つの問題があるという。便利な仕組みの裏にある、欠点とは？

　パスキーは、パスワードに代わる新しいユーザー認証方式だ。ユーザーが所有するデバイスで、指紋認証や顔認証、PIN（個人識別番号）などによって本人確認を行い、各種サービスにログインできる。近ごろは対応サービスも急速に増えている。

　こうした流れの中で、オーストリア在住のソフトウェアエンジニアで、SUSEに所属するウィリアム・ブラウン氏（ブログ名義は「Firstyear」）が、パスキーの課題について警鐘を鳴らした。同氏のブログ「Firstyear's blog-a-log」は、新記事が公開されるたびに「Hacker News」で話題となり、2025年12月17日に投稿された記事も注目を集めた。

　ブラウン氏は、パスキーが理論的には優れた技術である一方、2025年時点でも実用面では幾つかの問題を抱えていると指摘する。その一つが、AppleやGoogle、Microsoftといった大手テック企業のプラットフォームへの強い依存だ。これにより、ユーザーが特定のエコシステムから離れにくくなる「ベンダーロックイン」のリスクが生じる。

　例えば、Appleの「Keychain」で作成したパスキーを、GoogleやMicrosoftのデバイスで利用するのは煩雑だ。FIDO Credential Exchange（クレデンシャル交換）という規格は存在するものの、ユーザー体験の改善には十分とは言えない。また、異なるプラットフォーム間でパスキーを共有する際には、UIが統一されておらず、既存の別のパスキーを選択しにくいといった設計上の不備も課題として挙げられている。

　さらに、パスキーは「見えない」認証方式であるが故の分かりにくさもある。文字列として表示されず、紙に書き留めることもできないため、仕組みを直感的に理解しづらい。中身が見えないものを簡単に信用するのは難しく、ユーザー教育の重要性は高い。一方で、パスキーを利用すると顔認証や指紋認証の情報がインターネット経由で送信されると誤解している人もいる。だが実際には、これらの生体情報はデバイス側で処理され、サービス側に送信されることはない。この点を分かりやすく伝えることも、提供側に求められる責任だろう。

　さらに、パスキーは各プラットフォームのクラウドに強く依存しているため、アカウントを失うリスクも指摘されている。例えば、Keychainに保存されたパスキーが何らかの理由で失われた場合や、「Android」端末で新たなパスキーを作成できなくなったり、既存のパスキーが利用できなくなったりするケースが想定される。

　こうした事態に備えるには、プラットフォームをまたいだ共有や、確実なバックアップ手段の準備が必要だ。ブラウン氏は、「Bitwarden」や「Vaultwarden」といったサードパーティー製のクレデンシャルマネジャーの活用に加え、「YubiKey」などのハードウェアセキュリティキーを併用することを推奨している。また、特に重要なアカウントについては、強力なパスワードとワンタイムパスワードを復旧用の予備手段として保持し、印刷して安全に保管する方法も有効だとしている。

　この記事を受け、Hacker Newsでは、パスキー移行の難しさやベンダーロックインへの懸念に共感する声が数多く寄せられた。併せて、WebブラウザやデバイスのUI設計が、ユーザーの選択肢を狭めている点についても議論が交わされている。

　結論として、パスキーには依然として、ユーザー体験の未成熟さやエコシステムへの依存、バックアップ体制の脆弱（ぜいじゃく）さといった課題が残る。ただし、その普及が今後も進むことは確実だ。だからこそ、サービス提供者や認証プロバイダーは、利用を促すだけでなく、仕組みの丁寧な説明や安全な管理方法に関するユーザー教育にも、これまで以上に力を注ぐ必要があるだろう。

上司X：　パスキーは便利だけれど、まだまだ弱点や注意点もある、という話だよ。

ブラックピット：　生体認証なんかでユーザー認証するヤツですね。だいぶ利用する機会が増えました。

上司X：　ああ。もう普通に使っていると言ってもいいよね。

ブラックピット：　でも、なんとなくサービス側に誘導されて設定しているだけで、実際パスキーって何をどうしているのかはあまり理解していないかも。

上司X：　それはそうかもしれない。

ブラックピット：　そしてやっぱり最近では、スマホが使えなくなったらどうなるんだろう、と思う時もありますね。

上司X：　大体は「アカウントの復旧オプション」的なところから復旧できるけど、事前の準備も必要だよな。そうした周知も必要だとブラウン氏は言ってるんだろう。

ブラックピット：　確かにそうですよね。企業側が推進するのは決して悪いことではないですけど、ユーザー側はなんとなく使っていて、わりと便利だけどイザというときにどうにも困った事態になる、もろ刃の剣みたいな状況はイヤです！　なんとかしてくださいよ！

上司X：　俺にそう言われてもな（笑）。でも、キミみたいに思う人が増えるからこそブラウン氏のブログで書かれているような提言が注目されるんだろうし、Hacker Newsでも活発な議論が起こるんだろう。今後も注目していきたいものだよ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。