スポンサーリンク/Sponsored Link

「パスキーでログイン」って何のこと? 設定、解除方法、メリットと注意点

パスワードに代わる認証方法 パスキーとは
スマホ・タブレットニュース
スポンサーリンク/Sponsored Link

「Googleアカウントがパスキーに対応 パスワードを不要に」と報じられました。

Googleアカウントが「パスキー」対応 パスワードを不要に
Googleは3日(米国時間)、Googleアカウントにおいて「パスキー(PassKey)」に対応した。日本のGoogle アカウントにおいても設定が確認できた。また、Google Workspaceのアカウントでも、近日中に管理者がユーザ...

いったい何のことなのか、設定方法はどうやるのか、また、解除方法はどうやるのか、まとめていきます。

スポンサーリンク/Sponsored Link

パスキーとは パスワードのない世界への重要な一歩

「パスキーとはなにか」教室で説明するならこんな感じ

まずは「パスキーって何のことなのか」、かみ砕いてご説明しておきたいと思います。

スマホやパソコンそのものが、パスワードに代わって「鍵」の役割をします。

その鍵を使用できるのは、スマホやパソコンの画面ロックを解除できる人です。

実際に使われるのは、文字にできないぐらい複雑で込み入った、パスワードの代わりになるものです。

  • 文字にできないので、メモすることも覚えることもできません。
  • スマホやパソコンの中の、守られた極秘の空間で自動的に作られ、端末内に保存されます。
  • 「その端末の画面ロックを解除できる人」には、自由に簡単に、入力不要で使用できます。
  • GoogleやAppleのパスワードマネージャーは、このパスキーを暗号化してクラウドに保存する機能をもっています。

より詳しく知りたい方は、下記のGoogleによる説明をご覧ください。

Google Password Manager のパスキーのセキュリティ
Google Password Manager に保存されたパスキーの安全性がどのように保たれているかについて詳しく説明します。

パスワードより簡単に、パスワードより安全に

これまで、パスワードを安全に正確に使用することは、多くの方の悩みの種となってきました。

サイトのパスワードをすべて違うものにし、かつ安全に確実に保管することは、大変な労力です。このことが、初心者にとってスマホやパソコンの使用を難しいものにしてきました。

パスキーは、この現状を打破し、「パスワードのない世界」を実現するために、業界の多くの企業が関わって策定されてきた共通仕様をベースにした、新しい認証方法です。

iPhoneやAndroid端末が採用する「パスキー」、パスワードレス認証普及の課題とは
パスワードを使う必要なく様々なサービスにログインできるようにする認証技術「FIDO」。その仕様を用いたパスワードレス認証「パスキー」がIT大手に採用されたことで注目されている。FIDOの普及を推進するFIDO Allianceは、どのような...

末端ユーザーからみれば、「自分の指紋で直接ネット上のサービスにログインした」かのように感じられる、とても簡単で信頼性の高い認証を実現しています。

実際には、「公開鍵暗号方式」によって厳密にその端末であることが検証されます。パスワードのように、類推されたり、総当たりされたりすることはありません。

スポンサーリンク/Sponsored Link

パスキーによるログインの設定方法

どんな場合に、パスキーによるログインが設定できるか

パスキーによるログインは、利用しようとするサービスがパスキーに対応している場合に設定できます。

  • パスワードを設定する画面で、「パスキーを使用する」のボタンがある
  • サインインオプションの選択肢に「パスキー」が表示されている

などの場合です。

パスキーに対応したと報じられているサービス、当方で分かったものを並べてみます。

GoogleアカウントマネーフォワードIDAmazon
Yahoo! JAPANメルカリ
au IDGitHub
dアカウントTikTok
(iOSのみ)

スマホやパソコンが対応していることも必要ですが、現時点では大半の端末が対応していると思います。(Windows10の最初期以前の古いパソコンは非対応かもしれません)

例えば、Googleアカウントは最近、パスキーに対応しました。このため、このような画面表示に変わりました。

Googleアカウント Googleにログインする方法 パスキー

このようなボタンを見つけた場合には、そこをタップすることで、パスキーによるログインを設定することができます。

設定すると、そのサービスにおいては、パスワードがなくてもログインできるようになります。

「パスキー」という言葉がない場合もまれにあります

パスキーに対応しているサービスでも、「パスキー」という言葉を使っていないこともあります。

例えば、Yahoo!はパスキーに対応しましたが、表示は次のようになっています。

生体認証(指紋・顔など)

この「生体認証(指紋・顔など)」の設定は、実際はパスキーの設定です。

Yahoo! JAPAN IDに関するヘルプ

Yahoo!による説明では、Android,iOSのみ利用可能となっていますが、実際には現在、Windows Helloによるパスキー認証もできています。

パスキーによるログインの設定方法

利用するサービスがパスキーに対応しているとわかったら、画面をよく見て設定画面に進みます。

すると、パスワードなど、これまで使ってきた本人確認を再度求められます。

本人確認に成功すると、生体認証やPINなど、画面ロックの解除に使っている認証をおこなうことを求められます。

認証に成功すると、パスキーの設定が完了し、その端末からはパスワードなしで認証できるようになります。

Googleアカウントへのパスキーの設定:Android

Android端末上では、ログイン時に自動的にパスキーが作成されていることがほとんどだと思います。

この場合は、次のようにして設定できます。

Gmailなどのアプリ、右上のアカウントアイコンをタップ、「Googleアカウントを管理」、「セキュリティ」、「パスキーを使用」
スマホの画面では、このままだと見づらいので、指でひろげて拡大してご覧ください

Googleアカウントへのパスキーの設定:iOS(iPhone,iPad)

iOSの場合も、Androidと設定方法はほとんど同じです。

GMailやGoogleマップ、Googleアプリなど、どれかのアプリの右上にあるアカウントアイコンをタップして設定を開始します。

とても簡単な操作でパスキーを設定できます。途中で、Face ID/Touch ID またはパスコードによって、画面ロックと同じ本人認証が入ります。

iOSでGoogleアカウントにパスキーを設定するようす
「パスキー」→Googleアカウントのパスキーの作成→パスキーが作成されました

Googleアカウントへのパスキーの設定:Windows

Windowsパソコンにも、「Windows Hello」という名称で、同じように秘密鍵を生成する機能があります。これを使って、同じようにパスキーを設定できます。

Gmailなどの右上メニューボタン、「アカウント」、「セキュリティ」、「パスキー」、パスキーを作成する
スマホではこのままだと見づらいので、指で広げて拡大してご覧ください。
スポンサーリンク/Sponsored Link

「パスキーが同期される」とはどういうことか

本来、端末の認証キーは、端末ごとに固有のものです。他の端末で同じキーを使用することはできません。

ところが、GoogleアカウントやApple iCloudキーチェーンでは、「パスキーが端末間で同期される」とされています。

端末に固有のはずのパスキーが、かんたんに他の端末に移動できるようでは、セキュリティは弱くなってしまいます。

各社はこの点に、どのような対策をしているでしょうか。

Googleによる説明

Googleは次のように説明しています。

Google Password Manager のパスキーのセキュリティ
Google Password Manager に保存されたパスキーの安全性がどのように保たれているかについて詳しく説明します。
  • ユーザーの端末でしか復元できない暗号化を行ったうえで、Googleのサーバに送信される
  • 新しい端末でログインして、そのパスキーを復元するには、Google アカウントへのログイン※に加え、前の端末のロック画面の PIN、パスワード、パターンのいずれかを入力する必要がある

※新しいAndroidスマホでのGoogleアカウントへのログインについて
現在、Android端末の機種変更においては、前の端末が動作していて、Googleにログインできている場合、簡単な引継ぎ操作で新しいスマホにもログインできるようになっています。
しかし、前のスマホが破損や水没で起動しない場合には、この簡単な引継ぎ操作は使えません。
このような場合には、最初の一回に限り、新しい端末ではパスキーは使うことができず、パスワードでログインする必要がある、ということになります。

ご注意いただきたいのは、Googleアカウントの場合、二段階認証を設定していなければ、パスワードがバレてしまったら、比較的簡単に、新しい端末にログインされてしまう、ということです。

Googleアカウントでパスキーやパスワードの同期をする場合は、必須とはされていませんが、二段階認証をオンにすることを強くおすすめします。

Appleによる説明

Appleは、次のように説明しています。

iPhoneとiCloudキーチェーンを使ってすべてのデバイスでパスキーおよびパスワードを利用できるようにする
iPhoneでiCloudキーチェーンを使用すると、Webサイトのパスキー、パスワード、クレジットカード情報、その他のアカウント情報がほかのデバイスで最新の状態に保たれます。

Apple(iPhone, iPad, Mac)の場合は、iCloudキーチェーンの使用にあたり、2ファクタ認証が必須となっています。これに加え、パスキーのみならず、パスワードの同期に際しても、前の端末のパスコードを入力する必要があります。

Appleは、もともと認証方法がGoogleより厳しいので、パスキーの同期にあたっても、これまでと特に違うところはありません。

スポンサーリンク/Sponsored Link

【重要】他人が管理する端末では、絶対にパスキーは設定しないこと

各社の説明の中に必ず書いてあり、かつ、うっかり読み飛ばしてしまいそうな、超重要な注意事項があります。

他人が画面ロックを管理する端末では、絶対にパスキーを設定してはならない

ということです。

他人の端末でパスキーを設定するのは、アカウントへのフリーパスを与えること

家族、友人、彼氏彼女、気心の知れた同僚のスマホであっても、自分のアカウントへのパスキー設定は絶対に避けてください。

職場でPINコードが共有されているパソコン、借りたパソコンなどでも、自分のアカウントのパスキーは絶対に設定しないでください。(※本来はPINコードを共有せず、おのおの自分専用のアカウントを作成するのが推奨です)

まして、見ず知らずの他人のスマホでは絶対に設定してはいけません。

他人の端末では、自分のアカウントでログイン自体しないほうがよいです。

例えば、次のような方法でのアカウント乗っ取りが、あり得てしまいます。

路上で声をかけられる。
「助けてください、私のスマホが動かなくなりました。あなたのGoogleアカウントでログインしてもらえれば、復活できます。」

「復活したら、すぐログアウトするので大丈夫です」

→ログインして、ログアウトするまでの間に、手早くパスキーの設定をされてしまう

→「ありがとうございました、助かりました」といって別れたあと、詐欺師はすばやく、あなたのGoogleアカウントのログイン画面に進み、設定したパスキーで認証、自由にあなたのGoogleアカウントを乗っ取って利用できる

パスキーは大変便利な仕組みですが、これまでとは「注意のしどころ」が変わってきます。こうした点をよく理解して、便利に使っていきましょう。

パスキーを設定していない端末でも、手持ちのスマホでログイン可能な場合も

パスキーを設定していない端末からログインする場合に、スマホに設定したパスキーで認証できる場合もあります。

想定されるのは例えば、借りたパソコンでログインする場合など。パソコン自体でパスキーを設定してしまうと、そのあとそのパソコンからはフリーパスになってしまいかねません。

そんなとき、てもとにパスキー設定済みのスマホがあり、かつ、パソコン・スマホ双方でBluetoothがオンになっていると、例えばGoogleアカウントでは、次のような流れで、スマホを使ってパスキーによるログインを行うことができます。

ログイン画面で別の方法を試す、またはキャンセル スマートフォンまたはタブレットを使用する QRコードが表示 スマホでQRコードをスキャン QRコードを使用して接続しますか?
パソコンで、Googleアカウントにスマホのパスキーでログインする場合の画面の例。
スマホでは小さくて見づらいと思います。指でひろげると大きく表示できます。
他のサービスでは、画面がちがったり、スマホではログインできない場合もあります。
スポンサーリンク/Sponsored Link

設定済みのパスキーを解除(削除)する方法

すでにパスキーによるログインを設定したが、解除(削除)したい場合の操作についても確認してみました。

Yahoo! など、Googleアカウント以外の場合

Yahoo!など、Googleアカウント以外のアカウントでパスキーを設定した場合は、任意に解除できるボタンが表示されているはず、と考えてよいかと思います。

例として、Yahoo! では次のような方法が用意されています。

Yahoo!アカウントからパスキーによるログインを解除する方法 ログインとセキュリティ→設定する→登録済みの端末の右にある解除ボタン

Googleアカウントに設定したパスキーの解除

Googleアカウントに設定したパスキーの解除方法は、一応、Googleアカウントヘルプに記載がありますが、分かりにくいかもしれません。実際の画面を見ながら解説したいと思います。

Android以外の端末から設定したパスキー

Android以外の端末のパスキーを設定した場合は、「×」ボタンがありますので、ここから簡単に解除できます。

Android以外から設定したパスキーの解除 「手動で作成したパスキー」の右に×がある

Android端末から設定したパスキー

Android端末からGoogleアカウントのログインに設定したパスキーを解除するには、ログアウトするしかありません。

以下の手順は、解除したい端末を、別の端末から表示し、解除したい端末の情報画面から「ログアウト」のボタンを押しているところです。

Googleアカウントに設定したAndroid端末のパスキーを解除する方法 デバイスを管理、から、その端末のログアウトを選択

いま操作しているAndroidスマホのパスキーを解除するには、端末からログアウト(アカウントを端末から削除)します。

Androidの設定 アカウントとバックアップ アカウントを管理 Googleアカウント アカウントを削除

ログアウトする以外、Googleアカウントのログインに使うパスキーを個別に削除する方法はありません。

また

再度ログインすると、その端末のパスキーは復活し、パスキーでGoogleアカウントにログインできるようになります。

パスキーの利用開始する前の状態に戻す「オプトアウト」

Googleアカウントにログインしたまま、パスキーの使用を辞めたい場合は、パスキーの使用を「オプトアウト」します。

といっても、「オプトアウト」というメニューやボタンはありません。下記の方法で、「可能な場合はパスワードをスキップする」を「オフ」にします。

Googleアカウント セキュリティ 可能な場合はパスワードをスキップする スイッチをオフ

オプトアウトした場合の動作は、Googleによると次のような形になります。

重要: オプトアウトしても、アカウントに登録したパスキーはすべて保持されます。今後ログインする際はパスワードが必要となります。また、設定に応じて 2 段階認証プロセスも必要となります。

Googleアカウントヘルプ「パスワードの代わりにパスキーでログインする」

完全に元の状態に戻るわけではなく、パスキーが削除されるわけではないが、ログインには使用されなくなる、ということです。

スポンサーリンク/Sponsored Link

Apple IDがログインにパスキーを採用していないことの意味

今回、Googleアカウントは、パスキーによるログインに対応しました。

一方、Apple IDは、早くからパスキーの保存と同期に対応したにも関わらず、Apple ID自身のサインインにはパスキーを採用していません。

一見、奇妙に見える食い違いですが、筆者はこのことには重大な意味があると判断しています。

※2023/7/22追記
今秋リリースされるとみられるiOS17のベータ版(テスト版)限定で、Apple IDへのパスキーによるサインインが可能になったようだ、という報道が出ています。AppleIDのサインイン画面に「iPhoneでサインイン」というボタンが一部のユーザーに表示されているようです。

「マスターキー」にあたるApple IDには厳密な認証を求めている

Googleアカウントや、Apple ID(iCloudキーチェーン)には、多数のID,パスワード、そしてパスキーが記憶されることになります。

いわば、GoogleアカウントやApple IDが、「マスターキー」の役割を果たしているわけです。

この「マスターキー」を侵害されると、つまり、記憶されている全てのパスワードとパスキーにアクセスされています。

AppleはここでiCloudキーチェーンを使用するすべてのApple IDに2ファクタ認証を必須としました。

Apple ID アカウントへのアクセスの保護
不正アクセス対策として、iCloud キーチェーンを使う Apple ID では 2 ファクタ認証が必須となります。ユーザが新しいパスキーを登録しようとした際に 2 ファクタ認証が設定されていないと、2 ファクタ認証を設定するよう自動的に誘導されます。
画像をタップすると、この表示がされているAppleのサイトを見られます

そして、一方で、Apple ID自身のサインインには、パスキーを現在まで採用していません。

このことはつまり、Appleは、「マスターキー」にあたるApple IDについては、利便性を重視してパスキーを導入することなく、従来のパスワードと2ファクタ認証を要求し続けることにより、全体のセキュリティ水準を保とうとしているのではないか、と筆者は見ています。

対するGoogleは、利便性を重視する運用なのではないか

対してGoogleは、Googleパスワードマネージャーの利用に際して、2段階認証を必須としていません。

そして、Googleアカウント自身のログインにパスキーの使用を認めました。さらに、確認したところ、Googleアカウントにパスキーでログインした場合、2段階認証はスキップされ、パスキーのみでログインできます。

さらに、別記事でまとめていますが、Google認証アプリ(Google Authenticator)のアカウント同期に際しても、2段階認証を求めていると書かれていますが、実験すると2段階認証オフでも同期できます。また、厳密な暗号化も標準では見送っています。

詳しくは別記事をご覧ください。

Appleの仕組みと比べると、侵害のリスクは高くなっていると言わざるを得ません。

見方を変えれば、Googleの方式は、よりユーザーの自己責任に比重を置いている、と言えるかもしれません。Appleは、多少利便性を犠牲にしても、セキュリティ上必要と思われるものは必須として要求し、Appleの責任でユーザーデータを守ろうとしているように見えます。

このような背景から、繰り返しになりますが、Googleアカウントには、ぜひ、ご自身の手で2段階認証を設定していただくことを、強くおすすめしたいと思います。

パソコン教室・キュリオステーション志木店からのお知らせ
レッスンはオンラインで受講できます

パソコン教室・キュリオステーション志木店では、オンラインでの在宅レッスンを実施しております。
教室の全コースがオンラインで受講可能。実際にインストラクターがご対応いたします。
1時間の無料体験レッスンはいつでも予約できます。詳しくは公式ページをご覧ください。

キュリオステーション志木店運営をフォローする
スポンサーリンク/Sponsored Link

コメント

  1. PC初心者 より:

    パスキーの設定方法はどこのサイトでも詳細解説されているのですが、実際に使ってみた所不便さを感じたので、パスキー設定を解除したいと思っているのですが、その解除方法が記載されたサイトがどこにもありません。
    もし、よろしければこちらのサイトで記載していただけませんでしょうか?

タイトルとURLをコピーしました