「Googleアカウントがパスキーに対応 パスワードを不要に」と報じられました。
いったい何のことなのか、設定方法はどうやるのか、また、解除方法はどうやるのか、まとめていきます。
パスキーとは パスワードのない世界への重要な一歩
「パスキーとはなにか」教室で説明するならこんな感じ
まずは「パスキーって何のことなのか」、かみ砕いてご説明しておきたいと思います。
スマホやパソコンそのものが、パスワードに代わって「鍵」の役割をします。
その鍵を使用できるのは、スマホやパソコンの画面ロックを解除できる人です。
実際に使われるのは、文字にできないぐらい複雑で込み入った、パスワードの代わりになるものです。
- 文字にできないので、メモすることも覚えることもできません。
- スマホやパソコンの中の、守られた極秘の空間で自動的に作られ、端末内に保存されます。
- 「その端末の画面ロックを解除できる人」には、自由に簡単に、入力不要で使用できます。
- GoogleやAppleのパスワードマネージャーは、このパスキーを暗号化してクラウドに保存する機能をもっています。
より詳しく知りたい方は、下記のGoogleによる説明をご覧ください。
パスワードより簡単に、パスワードより安全に
これまで、パスワードを安全に正確に使用することは、多くの方の悩みの種となってきました。
サイトのパスワードをすべて違うものにし、かつ安全に確実に保管することは、大変な労力です。このことが、初心者にとってスマホやパソコンの使用を難しいものにしてきました。
パスキーは、この現状を打破し、「パスワードのない世界」を実現するために、業界の多くの企業が関わって策定されてきた共通仕様をベースにした、新しい認証方法です。
末端ユーザーからみれば、「自分の指紋で直接ネット上のサービスにログインした」かのように感じられる、とても簡単で信頼性の高い認証を実現しています。
実際には、「公開鍵暗号方式」によって厳密にその端末であることが検証されます。パスワードのように、類推されたり、総当たりされたりすることはありません。
パスキーによるログインの設定方法
どんな場合に、パスキーによるログインが設定できるか
パスキーによるログインは、利用しようとするサービスがパスキーに対応している場合に設定できます。
- パスワードを設定する画面で、「パスキーを使用する」のボタンがある
- サインインオプションの選択肢に「パスキー」が表示されている
などの場合です。
パスキーに対応したと報じられているサービス、当方で分かったものを並べてみます。
| Googleアカウント | マネーフォワードID | Amazon |
| Yahoo! JAPAN | メルカリ | |
| au ID | GitHub | |
| dアカウント | TikTok (iOSのみ) |
スマホやパソコンが対応していることも必要ですが、現時点では大半の端末が対応していると思います。(Windows10の最初期以前の古いパソコンは非対応かもしれません)
例えば、Googleアカウントは最近、パスキーに対応しました。このため、このような画面表示に変わりました。
このようなボタンを見つけた場合には、そこをタップすることで、パスキーによるログインを設定することができます。
設定すると、そのサービスにおいては、パスワードがなくてもログインできるようになります。
「パスキー」という言葉がない場合もまれにあります
パスキーに対応しているサービスでも、「パスキー」という言葉を使っていないこともあります。
例えば、Yahoo!はパスキーに対応しましたが、表示は次のようになっています。
この「生体認証(指紋・顔など)」の設定は、実際はパスキーの設定です。
Yahoo!による説明では、Android,iOSのみ利用可能となっていますが、実際には現在、Windows Helloによるパスキー認証もできています。
パスキーによるログインの設定方法
利用するサービスがパスキーに対応しているとわかったら、画面をよく見て設定画面に進みます。
すると、パスワードなど、これまで使ってきた本人確認を再度求められます。
本人確認に成功すると、生体認証やPINなど、画面ロックの解除に使っている認証をおこなうことを求められます。
認証に成功すると、パスキーの設定が完了し、その端末からはパスワードなしで認証できるようになります。
Googleアカウントへのパスキーの設定:Android
Android端末上では、ログイン時に自動的にパスキーが作成されていることがほとんどだと思います。
この場合は、次のようにして設定できます。
Googleアカウントへのパスキーの設定:iOS(iPhone,iPad)
iOSの場合も、Androidと設定方法はほとんど同じです。
GMailやGoogleマップ、Googleアプリなど、どれかのアプリの右上にあるアカウントアイコンをタップして設定を開始します。
とても簡単な操作でパスキーを設定できます。途中で、Face ID/Touch ID またはパスコードによって、画面ロックと同じ本人認証が入ります。
Googleアカウントへのパスキーの設定:Windows
Windowsパソコンにも、「Windows Hello」という名称で、同じように秘密鍵を生成する機能があります。これを使って、同じようにパスキーを設定できます。
「パスキーが同期される」とはどういうことか
本来、端末の認証キーは、端末ごとに固有のものです。他の端末で同じキーを使用することはできません。
ところが、GoogleアカウントやApple iCloudキーチェーンでは、「パスキーが端末間で同期される」とされています。
端末に固有のはずのパスキーが、かんたんに他の端末に移動できるようでは、セキュリティは弱くなってしまいます。
各社はこの点に、どのような対策をしているでしょうか。
Googleによる説明
Googleは次のように説明しています。
- ユーザーの端末でしか復元できない暗号化を行ったうえで、Googleのサーバに送信される
- 新しい端末でログインして、そのパスキーを復元するには、Google アカウントへのログイン※に加え、前の端末のロック画面の PIN、パスワード、パターンのいずれかを入力する必要がある
※新しいAndroidスマホでのGoogleアカウントへのログインについて
現在、Android端末の機種変更においては、前の端末が動作していて、Googleにログインできている場合、簡単な引継ぎ操作で新しいスマホにもログインできるようになっています。
しかし、前のスマホが破損や水没で起動しない場合には、この簡単な引継ぎ操作は使えません。
このような場合には、最初の一回に限り、新しい端末ではパスキーは使うことができず、パスワードでログインする必要がある、ということになります。
ご注意いただきたいのは、Googleアカウントの場合、二段階認証を設定していなければ、パスワードがバレてしまったら、比較的簡単に、新しい端末にログインされてしまう、ということです。
Googleアカウントでパスキーやパスワードの同期をする場合は、必須とはされていませんが、二段階認証をオンにすることを強くおすすめします。
Appleによる説明
Appleは、次のように説明しています。
Apple(iPhone, iPad, Mac)の場合は、iCloudキーチェーンの使用にあたり、2ファクタ認証が必須となっています。これに加え、パスキーのみならず、パスワードの同期に際しても、前の端末のパスコードを入力する必要があります。
Appleは、もともと認証方法がGoogleより厳しいので、パスキーの同期にあたっても、これまでと特に違うところはありません。
【重要】他人が管理する端末では、絶対にパスキーは設定しないこと
各社の説明の中に必ず書いてあり、かつ、うっかり読み飛ばしてしまいそうな、超重要な注意事項があります。
他人が画面ロックを管理する端末では、絶対にパスキーを設定してはならない
ということです。
他人の端末でパスキーを設定するのは、アカウントへのフリーパスを与えること
家族、友人、彼氏彼女、気心の知れた同僚のスマホであっても、自分のアカウントへのパスキー設定は絶対に避けてください。
職場でPINコードが共有されているパソコン、借りたパソコンなどでも、自分のアカウントのパスキーは絶対に設定しないでください。(※本来はPINコードを共有せず、おのおの自分専用のアカウントを作成するのが推奨です)
まして、見ず知らずの他人のスマホでは絶対に設定してはいけません。
他人の端末では、自分のアカウントでログイン自体しないほうがよいです。
例えば、次のような方法でのアカウント乗っ取りが、あり得てしまいます。
路上で声をかけられる。
「助けてください、私のスマホが動かなくなりました。あなたのGoogleアカウントでログインしてもらえれば、復活できます。」
「復活したら、すぐログアウトするので大丈夫です」
→ログインして、ログアウトするまでの間に、手早くパスキーの設定をされてしまう
→「ありがとうございました、助かりました」といって別れたあと、詐欺師はすばやく、あなたのGoogleアカウントのログイン画面に進み、設定したパスキーで認証、自由にあなたのGoogleアカウントを乗っ取って利用できる
パスキーは大変便利な仕組みですが、これまでとは「注意のしどころ」が変わってきます。こうした点をよく理解して、便利に使っていきましょう。
パスキーを設定していない端末でも、手持ちのスマホでログイン可能な場合も
パスキーを設定していない端末からログインする場合に、スマホに設定したパスキーで認証できる場合もあります。
想定されるのは例えば、借りたパソコンでログインする場合など。パソコン自体でパスキーを設定してしまうと、そのあとそのパソコンからはフリーパスになってしまいかねません。
そんなとき、てもとにパスキー設定済みのスマホがあり、かつ、パソコン・スマホ双方でBluetoothがオンになっていると、例えばGoogleアカウントでは、次のような流れで、スマホを使ってパスキーによるログインを行うことができます。
スマホでは小さくて見づらいと思います。指でひろげると大きく表示できます。
他のサービスでは、画面がちがったり、スマホではログインできない場合もあります。
設定済みのパスキーを解除(削除)する方法
すでにパスキーによるログインを設定したが、解除(削除)したい場合の操作についても確認してみました。
Yahoo! など、Googleアカウント以外の場合
Yahoo!など、Googleアカウント以外のアカウントでパスキーを設定した場合は、任意に解除できるボタンが表示されているはず、と考えてよいかと思います。
例として、Yahoo! では次のような方法が用意されています。
Googleアカウントに設定したパスキーの解除
Googleアカウントに設定したパスキーの解除方法は、一応、Googleアカウントヘルプに記載がありますが、分かりにくいかもしれません。実際の画面を見ながら解説したいと思います。
Android以外の端末から設定したパスキー
Android以外の端末のパスキーを設定した場合は、「×」ボタンがありますので、ここから簡単に解除できます。
Android端末から設定したパスキー
Android端末からGoogleアカウントのログインに設定したパスキーを解除するには、ログアウトするしかありません。
以下の手順は、解除したい端末を、別の端末から表示し、解除したい端末の情報画面から「ログアウト」のボタンを押しているところです。
いま操作しているAndroidスマホのパスキーを解除するには、端末からログアウト(アカウントを端末から削除)します。
ログアウトする以外に、Googleアカウントのログインに使うパスキーを個別に削除する方法はありません。
また
再度ログインすると、その端末のパスキーは復活し、パスキーでGoogleアカウントにログインできるようになります。
パスキーの利用開始する前の状態に戻す「オプトアウト」
Googleアカウントにログインしたまま、パスキーの使用を辞めたい場合は、パスキーの使用を「オプトアウト」します。
といっても、「オプトアウト」というメニューやボタンはありません。下記の方法で、「可能な場合はパスワードをスキップする」を「オフ」にします。
オプトアウトした場合の動作は、Googleによると次のような形になります。
重要: オプトアウトしても、アカウントに登録したパスキーはすべて保持されます。今後ログインする際はパスワードが必要となります。また、設定に応じて 2 段階認証プロセスも必要となります。
Googleアカウントヘルプ「パスワードの代わりにパスキーでログインする」
完全に元の状態に戻るわけではなく、パスキーが削除されるわけではないが、ログインには使用されなくなる、ということです。
Apple IDがログインにパスキーを採用していないことの意味
今回、Googleアカウントは、パスキーによるログインに対応しました。
一方、Apple IDは、早くからパスキーの保存と同期に対応したにも関わらず、Apple ID自身のサインインにはパスキーを採用していません。
一見、奇妙に見える食い違いですが、筆者はこのことには重大な意味があると判断しています。
※2023/7/22追記
今秋リリースされるとみられるiOS17のベータ版(テスト版)限定で、Apple IDへのパスキーによるサインインが可能になったようだ、という報道が出ています。AppleIDのサインイン画面に「iPhoneでサインイン」というボタンが一部のユーザーに表示されているようです。
「マスターキー」にあたるApple IDには厳密な認証を求めている
Googleアカウントや、Apple ID(iCloudキーチェーン)には、多数のID,パスワード、そしてパスキーが記憶されることになります。
いわば、GoogleアカウントやApple IDが、「マスターキー」の役割を果たしているわけです。
この「マスターキー」を侵害されると、つまり、記憶されている全てのパスワードとパスキーにアクセスされています。
Appleはここで、iCloudキーチェーンを使用するすべてのApple IDに2ファクタ認証を必須としました。
そして、一方で、Apple ID自身のサインインには、パスキーを現在まで採用していません。
このことはつまり、Appleは、「マスターキー」にあたるApple IDについては、利便性を重視してパスキーを導入することなく、従来のパスワードと2ファクタ認証を要求し続けることにより、全体のセキュリティ水準を保とうとしているのではないか、と筆者は見ています。
対するGoogleは、利便性を重視する運用なのではないか
対してGoogleは、Googleパスワードマネージャーの利用に際して、2段階認証を必須としていません。
そして、Googleアカウント自身のログインにパスキーの使用を認めました。さらに、確認したところ、Googleアカウントにパスキーでログインした場合、2段階認証はスキップされ、パスキーのみでログインできます。
さらに、別記事でまとめていますが、Google認証アプリ(Google Authenticator)のアカウント同期に際しても、2段階認証を求めていると書かれていますが、実験すると2段階認証オフでも同期できます。また、厳密な暗号化も標準では見送っています。
詳しくは別記事をご覧ください。
Appleの仕組みと比べると、侵害のリスクは高くなっていると言わざるを得ません。
見方を変えれば、Googleの方式は、よりユーザーの自己責任に比重を置いている、と言えるかもしれません。Appleは、多少利便性を犠牲にしても、セキュリティ上必要と思われるものは必須として要求し、Appleの責任でユーザーデータを守ろうとしているように見えます。
このような背景から、繰り返しになりますが、Googleアカウントには、ぜひ、ご自身の手で2段階認証を設定していただくことを、強くおすすめしたいと思います。
コメント
パスキーの設定方法はどこのサイトでも詳細解説されているのですが、実際に使ってみた所不便さを感じたので、パスキー設定を解除したいと思っているのですが、その解除方法が記載されたサイトがどこにもありません。
もし、よろしければこちらのサイトで記載していただけませんでしょうか?
コメントありがとうございます。
ただいま追記しました。現に操作しているAndroid端末のパスキーの削除はできないようですね。代わりに「オプトアウト」という操作が用意されていました。
追記した部分はこちらからご覧ください。