検索
ニュース

「パスキー」にまつわる7つの誤解から学ぶ いくつ答えられる?いまさら聞けないパスキーの正体(後編)

AppleやGoogle、Microsoftがパスワードに代わる認証方法「パスキー」に移行しようとしている。だが、パスキーには誤解を生みやすい部分がある。後編では「7つの誤解」を紹介しよう。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 パスワードや多要素認証とパスキーの違いについて紹介した前編公開後、任天堂やGitHubが相次いでパスキー対応を発表するなど、パスキーが盛り上がりを見せている。

 今回は、パスワード管理ソリューションを提供する1Passwordの解説を基に、パスキーにまつわる「7つの誤解」を紹介しよう。

【誤解1】パスキーはパスワードを隠しているだけで実際には使っている

 パスワードを代替する技術の一つが多要素認証だ。多要素認証は物理認証や生体認証などを使って、デバイスのロックを解除したり、オンラインアカウントにアクセスしたりする。それでもパスワードが不要になるわけではない。

 他方、パスキーはパスワードを使わずに機能する*。

*パスキーはパスワードを使わないものの、定義の上からは多要素認証の一種と言うことができる。ユーザーが所有しているデバイス(スマートフォンなど)とユーザーの生体情報(スマートフォンなどのロック解除に必要な情報)の二要素を用いた形だ。

 パスキーは「Web Authentication API」(WebAuthn)を利用する。WebAuthnは公開鍵暗号方式の「公開鍵」と「秘密鍵」を使って、ユーザーが本人だということを確認する。パスワードは使わない。さらに秘密鍵を共有する必要もない。攻撃者が公開鍵を入手しても、それだけでは何の役にも立たない。

 パスワードを使わないパスキーはフィッシング攻撃にも強い。ユーザーをだましたり、攻撃者が傍受したりしようとする平文のパスワードや秘密がないからだ。これがパスワードよりも、パスキーが安全な理由の一つだ。

 今後、WebサイトやWebアプリケーションのログインには、これまでのパスワード認証と並んでパスキーが使われるだろう。パスキーを利用できないユーザーもサービスにアクセスできるようになる。

【誤解2】パスキーでアカウントにログインする際はBluetoothが必要だ

 パスキーを使った認証とアカウントへのサインインのためには、Bluetooth接続が必要だという誤解がある。

 パスキーを最初に作成する際、Webサイト側はユーザーが実際の本人なのかどうか確認を求める。そのときスマートフォンやPC、タブレットなどを使うだろう。2回目のサインイン時に、ユーザーはこれらのデバイスを使って認証する。ここまでの操作にBluetoothは関係ない。

 ただし、Bluetoothを使う場面もある。AppleやGoogle、Microsoftが提供するソリューションのどれかを使ってパスキーを作成したとしよう。そのパスキーに他社のエコシステムに属するデバイスからアクセスする場合にBluetoothを使う。

 AndroidスマートフォンでGoogleのパスワードマネジャーを使い、パスキー付きのオンラインアカウントを作成したとしよう。その後、Windows PCで同じアカウントにアクセスしたとする。この場合は、Androidスマートフォンを使用して認証するよう求められる。

 Windows PCとAndroidスマートフォンが物理的に近くにあることを確認するために、Bluetoothが必要だ。これはフィッシング攻撃を防ぐためだ。しかし、サインインプロセスを保護するために、Bluetoothのセキュリティ特性をパスキーが使っているわけではない。

 いつも同じデバイスを使うか、デバイス間でパスキーを同期するソリューションを使うのであれば、Bluetooth接続は必要ない。

【誤解3】1つのパスキーがあれば全てのオンラインアカウントにアクセスできる

 パスキーは全てのオンラインアカウントのロックを解除するマスターキーではない。オンラインアカウントごとにパスキーを作成する必要がある。

 これではパスキーのメリットが薄れるように聞こえるが、パスキーは手動で何かをする必要がない点で他の認証とは異なる。ユーザー任せのパスワードとは違い、認証機関がユーザーの代わりに公開鍵と秘密鍵のペアを含むパスキーを生成する。

 短いパスワードや数字だけを使ったパスワードは脆弱(ぜいじゃく)だといわれている。ユーザーはつい短くてありふれたパスワードを作ってしまうものだ。パスキーは違う。何も指定しなくてもデフォルトの状態で強力だ。秘密鍵の長さやランダム性が十分かどうかを心配する必要は一切ない。

 パスキーを覚えたり入力したりする必要もない。秘密鍵はデバイスに保存されていて、アカウントにサインインする際に自動的にやりとりされるからだ。公開鍵のコピーはWebアプリケーションなどのプロバイダー側に保存されるため、これもまた入力する必要はない。「サインイン」を選択するだけで、バックグラウンドでパスキーがシームレスに処理される。

【誤解4】スマホを盗まれるとパスキーも盗まれる

 スマートフォンにパスキーを保管した場合は安全だと言える。サイバー攻撃者が機器を物理的に盗み出すことは難しいからだ。攻撃者は諦めて、デジタルでも盗める他の攻撃対象へと移っていくだろう。

 スマートフォンが盗まれた場合はどうなるのか。この場合もパスキーを見つけて悪用することは難しい。まずスマートフォンのロックを解除する必要があるからだ。指紋認証や顔認証などの生体認証でスマートフォンを保護していれば、ロックの解除は困難だ。

 スマートフォンやPCではパスキーのデータ(秘密鍵)を、事実上侵入不可能なTPM(Trusted Platform Module)領域に保存していて、誰かがスマートフォンを盗んだとしても、ロックを解除できない限りパスキーを取り出すことは困難だ。逆に言えばロックを解除するところを肩越しに見られた後にスマートフォンを盗まれた場合は、パスキーといえども安全ではない。

【誤解5】パスキーが入ったスマホやPCがないと、アカウントにサインインできない

 パスキーが入ったスマートフォンを忘れてきたとしよう。オンラインアカウントにアクセスできなくなってしまうのだろうか。これは場合による。

 AppleとGoogle、Microsoftは、それぞれのクラウドベースのストレージサービスを使って、デバイス間でパスキーを同期させている。「iPhone」を使ってパスキーを作成すれば、「iCloud」経由で他のApple製のデバイスを使って同じパスキーにアクセスできる。

 iPhoneを家に置き忘れ、図書館でWindows PCを使う場合はどうなるだろうか。登録されたメールアドレス宛てに「マジックリンク」(即座にサインインできるワンタイムリンク)を送るなど、サインインの他の選択肢が用意されている場合がある。パスキーよりはセキュリティのレベルが下がるものの、アクセスは可能だ。

【誤解6】パスキーが入ったデバイスを紛失するとアカウントにアクセスできなくなる

 すでに紹介したように、デバイス間でパスキーを同期できる。AppleやGoogle、Microsoftはそれぞれのエコシステム内でパスキーの同期を順次提供し始めている。このようなサービスが可能になり次第、デバイス間でパスキーを同期しておこう。同期サービスを提供するサードパーティーもある。

 同期していない状態で、パスキーが入ったデバイスを紛失するとパスキーを取り戻す方法はない。だが、先ほど取り上げたマジックリンクのように、アカウントにアクセスするためには他のオプションがある。マジックリンクなどを使ってサインインに成功した後、Webアプリケーションは新しいパスキーを作成するオプションを表示するはずだ。

【誤解7】生体認証が漏えいした場合、パスキーは脆弱になる

 パスワードとは異なり、顔や指紋を変更することはできない。生体認証の弱点はここにある。

 Androidスマートフォンのうち、一部ではユーザーの高画質写真を使って生体認証を突破できる。他のAndroidスマートフォンは、iPhoneと同様の深度感知カメラと3Dマッピング技術を搭載してこれに対抗している。

 深度マッピング技術を使えば、ユーザーの顔の「立体写真」(バイオメトリックデータ)を数学的な表現に変換できる。Appleのデバイスは、セキュアエンクレーブ(機密データを保護・処理するために特別に構築されたコンポーネント)のみが利用できるキーで、暗号化されたバイオメトリックデータを保存する。

 生体認証を用いるアプリケーションは、バイオメトリックデータに直接アクセスできない仕組みになっている。代わりにセキュアエンクレーブに対してアプリケーションがリクエストを送信し、セキュアエンクレーブが保存されている顔の数学的表現と、アプリケーションから送られてきたデータが一致するかどうかを調べて、ユーザーの身元を確認する。

 このような仕組みを採ると、安全性は保障されるだろうか。

 攻撃者はまずユーザーのデバイスに物理的にアクセスする必要があり、さらにユーザーの顔や指紋を完璧に表現する必要がある。両方を手に入れることは非常に難しい。

 攻撃者がセキュアエンクレーブ領域に押し入って秘密鍵を入手する可能性も極めて低い。スマートフォンを盗み出して分解したとしても、タンパー検知技術を採用したスマートフォン(例えばiPhone)には、チップに対する不正アクセスを検知してセキュアエンクレーブ内のデータを破壊する機能が備わっているからだ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る