先日、メルカリからこういうメールが来ました。
生体認証 (パスキー認証)をご登録済みのお客さまは、「メールまたは電話番号とパスワード」によるログインができなくなります。
メルカリからのメールより
※生体認証(パスキー認証)を登録していないお客さまは、アップデート日以降も従来の方法でログインが可能です。
このお知らせについて、いろんな疑問や誤解が出ているようです。
・メルカリでは生体認証が義務化されるの?
・生体認証がついてないスマホでは、メルカリは使えなくなるの?
・メルカリが指紋や顔の情報を取得するの?
・パスワードが使えなくなるなら、生体認証(パスキー)なんて解除したほうがいいの?
メルカリも専用のQ&Aを公開していますが、いまひとつピンとこない部分もあります。
生体認証を利用したログイン方法アップデートについてよくある質問 | メルカリ
この記事を読んで、疑問を解消してください!
そこで、疑問なところを分かりやすく解説してみよう! というのがこの記事です。
よかったらご一読ください。
「生体認証」と書くから分からない。これは「パスキー」です
「生体認証」と書くから分からないと思います。
すべて一旦、「パスキー」と言い換えて読めば、分かりやすくなります。
パスキー認証をご登録済みのお客さまは、「メールまたは電話番号とパスワード」によるログインができなくなります。
メルカリからのメールから「生体認証」の言葉を取り除いたもの
※パスキー認証を登録していないお客さまは、アップデート日以降も従来の方法でログインが可能です。
「パスキー」って、そもそも何!?
パスキーとは
パスワードがない世界のために開発された新しいログイン方式です。
パスワードの代わりに、スマホ・パソコン内部に暗号キーが作成され、本体の中に保存されます。
パスキーを使える人=その端末のロックを解除できる人 です。
詳しく知りたい方は別記事を参照ください。
「パスキー」と「生体認証」は同じなの?
パスキーと生体認証は、関係ありますが、同じではありません。
さきほど
パスキーを使える人=その端末のロックを解除できる人 です。
と書きましたが、これがすべてです。
スマホのロック解除が
生体認証の人→パスキーを使う時は生体認証をする
他の方法の人→パスキーを使う時も同じ方法でOK
iPhoneで、「TouchIDとパスコード→盗難デバイスの保護」が「オン」になっている場合は、パスキーを使うために生体認証しか使用できないことがあります。
これは、メルカリの仕様ではなく、iOSの仕様です。
詳しくは→ iPhone の「盗難デバイスの保護」について | Appleサポート
「iPhone がよく知っている場所以外にある場合」には、パスキーを使用する際にはPINコードではなく生体認証が必須となります。
メルカリは指紋を保存するの?
メルカリには、指紋や顔のデータは一切わたりません。
指紋や顔は、自分のスマホの中から一歩も外に出ません。
メルカリは、あなたのパスキーでしか開けられない錠前を作ります。
スマホをロック解除してパスキーを使えば、その錠前を開けられます。
生体認証は、あなたのスマホから外には一切出ることはありません。スマホのロック解除に使うだけです。
パスキーなんて解除した方がいいの?
いいえ、ぜひパスキーを登録してください。
パスキーにはパスワードの欠点を解決する、いろいろなメリットがあります。
・スマホの中に密封されている。パスワードのように漏洩しない。
・文字にできない暗号キーなので、偶然当てることは不可能
・漏洩しないため、2段階認証も不要になる。ログインが簡単なのにセキュリティは高い。
・自分で考えないで自動作成されるので、使い回しが起こらない
・スマホに保存されるので、覚えなくていい
・機種変更の時も、自動的に新しいスマホに移行される。
(※Googleアカウント/Apple IDでログインしたスマホの場合)
・スマホのロック解除操作で自動送信される。入力しなくていい
基本的にいいことだらけです。ぜひパスキーを登録して、使ってみてください。
一度パスキーを登録すると、パスキーがない状態に戻る(すべてのパスキーを削除する)ことは基本的にできないようです。
もしどうしても、パスキーがない状態に戻したければ、メルカリのサポートに問い合わせをする必要があります。
どうしてパスキーを登録すると、パスワードでログイン不可になるの?
9月から順次、パスキー認証を設定したユーザーは、メルカリにパスワードでログインできなくなるそうです。
どうして、パスワードでのログインが不可になってしまうんでしょうか?
うちはメルカリ関係者じゃないので、本当の意味を聞いたわけじゃないんですけど
理由は、ほぼ間違いなく、こちらだと思います。
せっかくパスキーを設定して、不正アクセスを防げるのに、パスワードが漏れて or 当てられて不正アクセスされるのを防ぐため
パスキーは、漏れない、当てられない、使い回せない、というすぐれたログイン方法なのですが、従来のパスワードも使える状態のまんまだと、パスワードを使って不正アクセスされてしまいます。
また、すでにパスキーを使っている方は、パスワード自体ほとんどいらなくなるので、今どんなパスワードになっているのかも気にしなくなりがちだと思います。
他のサイトと同じパスワードを使い回したまま、放置してしまうこともありえます。
そこにセキュリティの抜け穴が残ってしまうわけです。
ですから、パスキー設定済みの方のパスワードを無効にする措置は、セキュリティを向上させるよい判断だと思います。
パスキーを設定済みのスマホでは、自動的にパスキーが使われる
筆者のアカウントでは、つい先日までパスワードでもログインできていましたが、10月1日に試したところ、パスワードではログインできなくなっていました。
というか、パスワードでログインしようとすると、自動的にパスキーを要求され、そのままパスキーでログインできる、という動作になっていました。
ですから、実際にパスキーを登録したスマホであれば、これまでとほとんど違わない手順でログインできていると思います。ログインボタンを押した後、生体認証または他のロック解除方法を求められるだけですね。
ですから問題になるのは、
・機種変更などで新しいスマホでログインする場合
・パスキーを設定していない、2台目のスマホなどでログインする場合
になるかと思います。この点どうすればいいのか、後の章で詳しく解説しています。
パスキーを設定するにはどうすればいいの?
メルカリアプリで、
マイページ→個人情報設定→生体認証→生体認証を追加する
と進んだ画面で行います。
小さくて見づらい場合は、二本指で広げる操作で拡大できます。
「生体認証」と書かれていますが、お手持ちのスマホが生体認証以外の手段でロック解除できる場合は、その手段でちゃんと登録が完了します。
iPhone「盗難デバイスの保護」がオンの場合は、生体認証のみとなる場合も
iPhoneで、「TouchIDとパスコード→盗難デバイスの保護」が「オン」になっている場合は、パスキーを登録する際も生体認証しか使用できないことがあります。
これは、メルカリの仕様ではなく、iOSの仕様です。
詳しくは→ iPhone の「盗難デバイスの保護」について | Appleサポート
「iPhone がよく知っている場所以外にある場合」には、パスキーを使用する際にはPINコードではなく生体認証が必須となります。
機種変更や故障の時、また2台目のスマホではパスキーはどうなるの?
パスキーは、端末(スマホやパソコン)本体の中に保存されています。
それでは、機種変更・買い替え・故障のときは、パスキーはどうなってしまうのでしょうか?
あるいは、自分の持っている2台目のスマホでも、パスキーは使えるのでしょうか?
Googleアカウント/Apple IDに保存されて、新しいスマホに同期される
パスキーは、パスワードと同じように、
GoogleアカウントやApple IDのパスワードマネージャーに保存されます。
新しい端末で同じアカウントでログインすれば、新しい端末でも同じパスキーでログインすることができます。
パスワードマネージャーに保存されていることを確認する方法はこちらです。
※パスキー自体は、文字で表せない暗号キーなので、じかに見ることはできません。
小さくて見づらい場合は、二本指で拡大できます。
小さくて見づらい場合は、二本指で拡大できます。
パスキーの同期ができない場合は、どうすればいい?
スマホにログインせずに使っている場合
ログアウトしてしまっている場合
前と後のスマホで、ログインしているアカウントが異なる場合
そして多くの方に関係ありそうな、次のような場合
AndroidからiPhoneに乗り換えた場合、またはその逆の場合
2台持ちで、1台目がAndroid、2台目がiPhone、またはその逆の場合
スマホでパスキー設定したメルカリアカウントに、パソコンでログインする場合
こうした場合は、自動的に同期されないため、新しい端末に移行する際にひと工夫必要になります。
新しいスマホのメルカリに、前のスマホのパスキーでログインする
次のように操作すると、新しいスマホのメルカリに、前のスマホのパスキーでログインできます。
表示したQRコードを、前のスマホで読み取ると、前のスマホの方でパスキーを使ってログインできます。
iPhoneでは、次のような操作になります。
新しいスマホでログインできたら、新しいスマホの方で新規パスキーを登録する
こうして新しいスマホにログインできたら、新しいスマホの方でも改めてパスキーを登録します。
登録が完了すると、もう前のスマホがなくても、新しいスマホだけでログインできるようになります。
(前のスマホで登録したパスキーが今後は不要であれば、↑のスクショの画面から「削除」ボタンを使って、削除します。)
パスキーが同期していない、かつ、前のスマホが壊れて使えない場合は?
Googleアカウント/Apple IDでログインしていないスマホで、パスキーが同期されておらず
なおかつ、前のスマホが壊れて使えない、紛失してしまって手元にない場合はどうすればいいか?
どうしようもありません。
「Apple/Google/LINE/Facebookでログイン」ができればセーフ
もし、メルカリのアカウントを作成するときに、Apple、Google、LINE、Facebookのいずれかのアカウントを使って作成していて、これらのアカウントでログインできる場合は、セーフです。
これらのログイン方法は、今後も引き続き使えます。
その方法で新しいスマホにログインした後、パスキーを登録すればOKです。
それもできない場合は、メルカリに問い合わせてアカウントを復旧するしかない
それもできない場合は、最後の手段、メルカリに問い合わせてアカウントを復旧するしかありません。
パソコンではどうやってパスキーでログインするの?
パソコンでも、パスキーが登録でき使用できます。
※当店にMacの検証環境がないため、本記事はWindowsパソコンについてのみとなります。
同期なども含めたWindowsのパスキーへの本格対応はこれからです。パソコンやブラウザのアップデートによって、少しずつ可能になっていきます。
パスキーが使える場合の画面(例)
パソコンのブラウザでメルカリを開き、「ログイン」→「パスキーでログイン」を選択してみます。
パスキーが使える場合は次のような画面になります。(条件により、少し違う場合があります)
Chrome、Edgeの場合は、おそらく、Bluetoothがオンになっていれば、最低限、QRコードを表示してスマホのパスキーでログインは可能になるのではないかと思います。
パソコンでもパスキーを登録→以後はパソコンだけでログイン可能に
いったんメルカリにログインできたら、そのパソコンでもパスキーの登録を行えば、以後のログインはパソコンのみで行えるようになります。
登録したパソコンのパスキーは、一部の環境で別のパソコンに同期可能
スマホのパスキーは、同じGoogleアカウント/Apple IDのスマホには同期可能になっていますが、パソコンのパスキーは、まだすべての方が別のパソコンに同期できる状態にはなっていません。
現在当方で把握している限りの情報では
・Google Chromeの最新版は、パソコン~パソコン間、パソコン~スマホ間のパスキー同期に対応しました。
・Windows 11 24H2は、同じMicrosoftアカウントでサインインしたWindowsパソコン間でのパスキー同期に対応した、という情報があります。(実機未確認)
次のような画面の場合は、このままではパスキーが使えません
次のような画面になった場合、このままではパスキーは使えません。
当店でさまざまなパターンの検証を行いましたが、どの条件ならこうなるのか、厳密に確認しきれていません。確認できた範囲で、パスキーが使えない可能性がある条件を記載しました。
この画面になっている場合、まず、スマホで登録したパスキーでログインすること自体ができませんから、パソコンでのパスキー登録に進むこともできません。
スマホのパスキーでログインする場合、Bluetoothはどうしても必要です
パソコンのブラウザでメルカリにログインする際、いったんQRコードなどを介してスマホのパスキーを使うのですが、その際にはBluetoothは必須です。というのは、ログイン時のスマホ→パソコン間のパスキーの伝送には、一時的にBluetoothで通信が行われるからです。
ノートパソコンの場合は、ほぼほぼBluetoothはついていると思うのですが、デスクトップパソコンではBluetoothがついていないケースも多いと思います。
Bluetoothがないパソコンの場合は、次のような対応が可能です。
1.Bluetoothアダプタを購入し、パソコンにつけてBluetoothを有効化する
2.Google Chrome最新版が、スマホ←→パソコン間のパスキー同期に対応しましたので、Androidスマホの方は、同じアカウントでログインしたGoogle Chromeを使用する
FireFoxについては、当方の確認のかぎりでは、Bluetoothがオンになっているだけでは、QRコードを表示してスマホのパスキーでログインすることはできませんでした。
ChromeまたはEdgeでいったんログインし、メルカリ内でそのパソコンのパスキーを登録してから、FireFoxを開くと、パソコンのパスキーでログインできる画面に変わりました。
結論・パスキーを使うのがおすすめだが、パスワード同期は必ずかけておこう
というわけで、長々と解説しましたが、結論としては
・パスキーは不正アクセス撲滅の効果があるので、ぜひ登録して使ってください。
・スマホの破損・紛失・盗難にそなえて、Googleアカウント/Apple IDにログインしてパスキーの同期をすることを強くおすすめします
・AndoidとiPhoneの間ではパスキーは同期できないので、このような機種変更を行った際は特に注意して、必ず前のスマホのパスキーで、新しいのスマホのメルカリアプリにログインし、新しいスマホでもパスキーを登録してください。
ただ、現在のメルカリの説明では、
「パスキーの引継ぎ方法」
「引き継げなくなってしまうケース」
「引き継げない & 他のサービスでもログインできないと、メルカリにログインできなくなる」
という部分の説明が、不十分なように思います。
スマホの初期設定の時、普通に設定すればパスワードは同期できているため、多くの方では問題は起こらないのですが、
・スマホに意図的にログインしないで使用している
・Google / Apple のパスワードを忘れてログインできなくなった
・機種変更の時に新しいアカウントを作成してしまった
などのケースで、実際にメルカリにログインできなくなるケースは発生しそうです。
改めて、パスキーの使用時はGoogle アカウント/Apple IDでの同期はマストです! と強調しておきたいと思います。
追記)すでにパスワードを廃止し…ようとしてできてないYahoo! の場合
実は、Yahoo! JAPANが、かなり前にパスワードを廃止し…ようとしましたが、まだできてないようです。
着手はかなり早く、2018年なんですが
当時、Yahoo!を利用していると通知が来て、SMSによる認証一本に変更した記憶があります。
しかし、その後の経緯を辿ると、
・複数のYahoo!アカウントを持っている人が、携帯番号が1個しかないため片方に入れなくなった
・携帯電話の解約などで、電話番号が他の人にわたった際、その他の人がログインできてしまった
などの問題が起こった模様で、現在(2024.3)確認したところ、まだパスワードによるログインに切り替えることができています。(2段階認証が必須となります)
現在では、Yahoo! JAPANでもパスキーが登録・使用できるようになっています。
コメント
とても詳しく説明して下さってありがとうございます。
firefoxでの操作が難しそうなのでとりあえず
生体認証を確認した所 パスキーgoogleで春頃の日付が記載してありました。
設定した記憶はないのですが 設定してしまっていたのでしょうか。
削除を試みると 【エラー 最低1端末の登録が必要です。削除したい場合はメルカリ事務局へお問合せ下さい】とでてしまいました。
削除せずに生体認証を追加する を選択した方がいいのでしょうか。
なるほど、最低一つのパスキーは残さないといけない状態になるのですね。そこは当方で試してない点でした。情報ありがとうございます。記事内に追記させていただきます。
そうすると、「削除せずに生体認証を追加する」しか選べないですね。
もし、前回登録のパスキーが、いまお使いの同じスマホだった場合、ただいま試したところ「すでに端末が登録済みです」と表示され、新しいパスキーは登録できませんでした。
もしその表示になった場合は、お手持ちのスマホでパスキーを登録し、スマホ内にも保存されている可能性が高いです。
スマホのアプリでは正常にログインできているでしょうか?
はっきりしない場合は、
記事内に記載の方法で、スマホにパスキーが保存されているか確認の上、
今ログインできているアプリからログアウトして、再ログインしてみる、あるいは
スマホのブラウザ(Chrome / Safari)でメルカリを開いて、正常にパスキーでログインできるか試してみることができます。
また、プライベートタブで新しくメルカリを開いて、試した場合も、スマホに正しくパスキーが保存されていれば、パスキーでログインできました。
この方法で試して、ログインできた場合は、スマホには正しくパスキーが保存されており、アプリの方も、たとえログアウトしても正常にログインできるはずです。
もし、ログインできないといった場合には、何らかの事情で、正しくスマホにパスキーが保存されていない可能性が考えられます。その場合は、別のスマホ・タブレットがあれば、そちらでパスキーを追加登録するか、または、メルカリに問い合わせてパスキーを削除する必要が出るかもしれません。
困っていた所 とても詳しく説明されていて
とてもありがたいです。
スマホ(android)とPC(firefox)にてメルカリ使用していましたが
PCでログインできなくなりここにたどり着きました。
パスワードの同期についてですが
スマホとPCと両方使いたい場合
QRを読み込みで両方使えるようになるのでしょうか?
新しい機種変更などの場合のみですか?
確認したところスマホアプリ側でパスキー設定はしてないのですが
PCログインできていません。
こんにちは、コメントありがとうございます。
通常は、おっしゃる通り、スマホにパスキーが設定されていれば、QRコードを介してパソコン上でもログインが可能になります。
—>追記 PCにBluetoothが無い場合などで、この方法が使えない場合があります。また、FireFoxは一旦他のブラウザからPCのパスキーを登録しないといけないようです。
—>さまざまな環境で検証を行い、結果を記事内に追記いたしました。
こちらのリンクから、追加部分にジャンプできます。
「スマホにパスキーがないのに、パスワードでのログインが不可になっている」というのは、本来想定されない状態だと思います。
「そのスマホにパスキーがない」だけで、他のどちらかの端末で設定されていないでしょうか?
マイページ→個人情報設定→生体認証→生体認証を追加する の画面に、設定済みパスキーが表示されていないかご確認ください。
そして、もし設定されていれば、削除することでパスワードログインは復活すると思われますが、それよりも、いまお手持ちのスマホで新たにパスキーを登録された方が前向きかもしれません。
さまざまな環境で検証を行い、結果を記事内に追記いたしました。
こちらのリンクから、追加部分にジャンプできます。
(このコメントは、前の返信および本文内に反映しましたので、削除させていただきます)
(このコメントは、前の返信および本文内に反映したため削除させていただきます)