2026年、パスキーは「未来の技術」から日常的な現実へと変わりました。Apple・Google・Microsoftの主要プラットフォームはすべて対応済みで、指紋や顔認証でログインできるサービスが増え、パスワードはもはや不要になりつつあります。パスキーとは何か、本当にパスワードより安全なのか、移行期間中のアカウント管理はどうすれば良いのか、詳しく解説します。
1. なぜパスワードは根本的に問題なのか
サーバー側の保存リスク
パスワードはサーバーに何らかの形で保存されなければなりません(ソルト付きハッシュであっても)。サーバーが侵害されると、パスワードのハッシュがオフラインで解析される可能性があります。毎年大規模なデータ漏洩事件が発生しており、ほぼすべてにパスワード情報が含まれています。
フィッシング攻撃は防ぎきれない
どれほど複雑なパスワードでも、偽サイトに入力してしまえば攻撃者に渡ってしまいます。2FAがあっても、リアルタイムフィッシング攻撃はOTPを即座に中継してアカウントを乗っ取ることができます。
2. パスキーの仕組み
パスキーはFIDO2 / WebAuthn標準に基づき、公開鍵暗号方式を使用します。
登録フェーズ
- デバイスが秘密鍵と公開鍵のペアを生成
- 秘密鍵はデバイスのセキュアチップに保存され、絶対にサーバーへ送信されない
- 公開鍵のみがサービスのサーバーに送られて保存される
ログインフェーズ
- サービスがランダムなチャレンジコードを送信
- 生体認証またはPINで秘密鍵をアンロック
- 秘密鍵でチャレンジに署名してサーバーへ返送
- サーバーが公開鍵で署名を検証してログイン完了
暗号化を体験:AES暗号化ツールで現代の暗号化技術を実際に操作し、鍵が暗号システムでどのように機能するかを理解できます。
3. パスキーがフィッシング耐性を持つ理由
パスキーログイン時、デバイスは通信先のドメイン名を厳密に検証し、鍵ペア作成時に紐付けられたドメインと完全一致するかを確認します。フィッシングリンクで paypa1.com に誘導されても、paypal.com 用に作成したパスキーは表示されません。ドメインが一致しないためシステムが拒否します。
4. 移行期間中のアカウント管理
- 対応サービス(Google・Apple ID・GitHub)では今すぐパスキーを有効化する
- 重要なアカウントにはTOTPアプリによる2FAを設定する
- パスワードマネージャーで各サービスに固有の強力なパスワードを生成する
強力なパスワードを今すぐ生成:パスワード生成ツールはブラウザ内でランダムな高エントロピーパスワードを生成し、サーバーへのアップロードは一切ありません。
まとめ
- パスキーは公開鍵暗号方式を使用し、秘密鍵はデバイスから外に出ない
- ドメイン拘束によりフィッシング攻撃を技術的に防御
- 2026年時点で主要プラットフォームとサービスで広くサポート済み
- 移行期間中はパスワードマネージャー+強力なパスワード+2FAで保護