Security

アップルがパスワード廃止に向け実装した「パスキー」について知っておくべきこと

アップルは「iOS 16」と「macOS Ventura」で、パスワードに代わる認証システムとして「パスキー」を実装する。より便利で安全な認証を実現するというパスキーの使い方と仕組み、安全性について解説しよう。
An illustration of an arrow sticking out of an asterisk.
Illustration: Elena Lacey; Getty Images

パスワードを使ってログインをする時代が終わると、何年も前から言われてきた。そしていま、パスワードを不要にする機能が多くの人々に展開されることで、「パスワードのない未来」に向けて世界は大きく前進しようとしている。

アップルは2022年9月12日にモバイルOS「iOS 16」の提供を開始し、10月には次期macOS「macOS Ventura」の提供も開始する。これらにはパスワードに代わる認証機能として、「パスキー」と呼ばれる仕組みがiPhoneやiPad、Mac向けに搭載されるのだ。

パスキーを使うことで、パスワードを作成したり覚えたり、保存したりすることなく、アプリやウェブサイトにログインしたり新しいアカウントを作成したりできる。2つ1組の暗号化された鍵で構成されるパスキーは従来のパスワードに代わるもので、アップルのパスワードを保存する機能「iCloud キーチェーン」によりデバイス間で同期される。

パスキーは安全ではないパスワードや、パスワードに関する人々の“悪しき習慣”にとって代わるものた。いずれパスワードを完全になくし、オンラインのセキュリティを向上させる可能性を秘めている。

アップルのパスキーは、パスワードを不要とする技術の実装としては過去最大級の取り組みであり、大手テック企業で構成される業界団体「FIDOアライアンス」による長年の取り組みを基に構築された。パスキーは、FIDOアライアンスが制定した標準規格に準拠する独自の機能だ。これはつまり、グーグル、マイクロソフト、メタ・プラットフォームズ、アマゾンのシステムとも、いずれ連携するようになるということでもある。

パスキーとは何か?

パスキーの使い方は、パスワードと似ている。アップルのデバイスでは、ウェブサイトやアプリでユーザーがログインするときに使う従来のパスワードの入力欄に組み込まれている。

パスキーは固有のデジタルキーとして機能し、使用するアプリやウェブサイトごとに作成される(「パスキー」という名称はグーグルやマイクロソフトも使用している。ただし、FIDOアライアンスは「マルチデバイス対応FIDO認証資格情報」と呼んでいる)。

初めて利用するアプリやウェブサイトなら、最初からパスワードの代わりにパスキーを作成できる。一方、以前にアカウントを作成したサービスでは、まずはそのアカウントにパスワードでログインしてからパスキーを作成する必要がある。

アップルのデモでは、サインインやアカウント作成の過程で端末に確認画面が表示されていた。この確認画面は、使用しているアカウントの「パスキーを保存」するかどうかを尋ねる。この時点ではデバイスの使用者を顔認証システム「Face ID」や指紋認証システム「Touch ID」、あるいは別の方法で認証し、パスキーを作成するよう促す仕組みだ。

毎週開催のイベントに無料参加できる!『WIRED』日本版のメンバーシップ会員 募集中!

一度作成したパスキーはiCloud キーチェーンに保存され、複数のデバイス間で同期できる。つまり、ほかに何もしなくても、所有するiPadやMacBookでもパスキーを利用できるということだ。

パスキーはアップルのデバイスだけでなく、アップルのウェブブラウザー「Safari」でも利用できる。パスキーをAirDrop経由で、近くのアップル製デバイスと共有することも可能だ。

アップルのパスキーはFIDOアライアンスの標準規格に基づいているので、今後ほかの場所でも保存できるようになる可能性がある。例えば、パスワード管理ソフトウェア「Dashlane」はパスキーへの対応を発表しており、自社サービスを「デバイスやプラットフォームにしばられない独立した世界共通のソリューション」であると謳っている。

Most Popular

アップルはiOS 16とmacOS Venturaでパスキーを実装するが、利用にはいくつか注意点がある。ひとつは、デバイスを最新のOSに更新する必要がある。もうひとつは、使用するアプリやウェブサイトがパスキーに対応していなければならない。各サイトはFIDOアライアンスの標準規格に準拠することで対応できる。

アップルが初めてこの技術を開発者に紹介したのは、21年の開発者会議「WWDC 2021」でのことだった。それ以降、どのアプリやウェブサイトがアップルのOSの更新に先立ってパスキーに対応したのかは、明らかになっていない。

アップルのパスキーの仕組み

アップルのパスキーは、FIDOアライアンスとW3C(ワールド・ワイド・ウェブ・コンソーシアムが開発した「Web Authentication API(WebAuthn)」を基にしている。パスキー自体は公開鍵暗号方式でアカウントを保護する。つまり、パスキーは(人力で簡単に)入力できるようなものではないということだ。

パスキーを作成すると、ユーザーのシステムは1組の関連するデジタルキーを生成する。「アカウントごとに安全かつ固有のキーがあなたのデバイスによって生成されます」と、パスキーについての動画でアップルの認証体験チームの開発者であるギャレット・デビッドソンは説明している

生成されたキーのひとつは公開鍵で、アップルのサーバーに保存される。もうひとつは秘密鍵で、ユーザー側のデバイスだけが保有する。「サーバーが秘密鍵を知ることはなく、デバイスによって秘密鍵の安全が守られます」と、デビッドソンは説明している。

パスキーを使ってアカウントにログインしようとすると、ウェブサイトやアプリのサーバーはユーザー側の端末に「チャレンジ」(パスワード認証のチャレンジ/レスポンス認証で認証サーバーが端末に送るデータ)を送信する。つまり、ログインしようとしている人物が本人であることを証明するよう、端末に要求するということだ。

デバイスに保存されている秘密鍵は送られてきたチャレンジを演算し、応答を返す。そしてデバイスの応答が公開鍵によって検証され、ログインが可能になるというわけだ。「この方法で、サーバー側は実際の秘密鍵を知らなくても、あなたが正しい秘密鍵をもっていることを確認できるのです」と、デビッドソンは説明している。

アップル以外の端末を使用している場合の利用法

アップルがFIDOアライアンスの標準規格に基づいてパスキーを開発したことから、パスキーは端末にかかわらずインターネット上で使用できる。マイクロソフトのOS「Windows」搭載のコンピューターでアカウントにログインしようとする場合、その端末にはパスキーが保存されていないので、少し異なる方法でログインする必要がある(パスキーを外部のパスワードマネージャーで保存している場合は、まずそちらにログインする)。

例えば、ウェブブラウザー「Google Chrome」でウェブサイトにログインする場合は、QRコードとiPhoneを使ってログインすることになる。ブラウザーが生成するQRコードは、1回限りの暗号鍵を含むURLの情報を保持している。このQRコードをスキャンすると、iPhoneとコンピューターはBluetooth経由のエンドツーエンドの暗号化が施されたネットワークで通信し、情報を共有する

「WIRED Thursday Editor's Lounge」本格始動!いまいちばん会いたいゲストに“公開インタビュー”。毎週木曜夜のオンラインイベントをチェック!(詳細はこちら)

「つまり、メールで送られてきたQRコードや偽のウェブサイトで生成したQRコードでは機能しないということなのです。遠隔の攻撃者は、Bluetoothの通信を受信して局地的な情報交換を完了することはできません」と、デビッドソンは説明する。この工程はスマートフォンとブラウザー間で発生するもので、ログインしようとしているウェブサイトは関係ない。

Most Popular

アップル以外のテック企業は、独自のパスキー技術の展開に向けて異なる準備段階にある。グーグルの開発者向けページは、「2022年末」に向けてAndroidの開発者がパスキーを利用できるようにするよう進めていると伝えている。マイクロソフトは数年前からパスワード不要のログインシステムを部分的に導入しており、「近い将来」にもアップルやグーグルの端末からパスキーでマイクロソフトのアカウントにサインインできるようになるとしている。

パスキーはパスワードより優れているのか?

どんなシステムも完璧ではないが、現時点で人々が使っているパスワードは、インターネットにおける最大のセキュリティ問題となっている。情報漏洩の分析によると、人々が毎年最も使用しているパスワードは「123456789」と「password」だ。脆弱なパスワードを繰り返し使用することは、オンラインの活動において重大なリスクを伴う。

パスワードの廃止に向けた態勢は整っている。FIDOアライアンスには大手テック企業のほとんどが参加し、一丸となってパスワードの廃止に取り組んでいるのだ。米サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)長官のジェン・イースタリーは、パスワードを不要とする技術の導入を歓迎すると22年5月に語っている

「すべてのパスキーは強力です。推測されたり、再利用されたり、弱くなったりすることはありません」と、アップルはパスキーについての資料で説明している。「パスワードの問題に対処するには、パスワードを超える必要があります」と、グーグルはパスキーの独自の資料で伝えている

またパスキーは、フィッシング詐欺の防止にもつながるという。パスキーを共有するよう人々をだますことはできないからだ。パスキーの情報はサーバーに保存されていないので、ハッカーの標的にもなりにくい。

パスキーに寄せられる期待とは裏腹に、パスワードはまだしばらくはなくならないだろう。パスワードから新しいログイン方式に移行するには、人々が新しいシステムを信頼し、理解する必要がある。また、アプリやウェブサイトもパスキーに対応しなければならない。さらにiOSとAndroidのクラウドのバックアップの互換性についてなど、未解決の問題もある。

パスワードはまだ死んでいない。だが、いずれなくなるだろう。

WIRED US/Translation by Nozomi Okuma)

※『WIRED』によるパスワードの関連記事はこちら

Related Articles
Digital generated image of fingerprint shape made out of digital numbers on purple background
パスワード不要の認証がChromeとAndroidでも実現、新方式「パスキー」の使い方
パスワードに代わる認証方式「パスキー」が、このほど「Google Chrome」とAndroidスマートフォンに実装された。情報漏洩に対する高い安全性を誇るこの認証方式の設定方法と使い方を説明しよう。
article image
アップルが、今度こそ「パスワードが不要な世界」を実現する
パスワードを使わずにウェブサイトやアプリにサインインできる仕組みをアップルが発表した。iPhoneなどから顔認証や指紋認証を用いる「パスキー」と呼ばれる新機能は、セキュリティのさらなる向上に向けた重要な一歩になる。
death of passwords
「パスワードが不要な世界」を(今度こそ)目指す新たな取り組みは成功するか
パスワードが不要な認証を実現すべく、業界団体のFIDOアライアンスが“決定打”になりうる取り組みを打ち出した。それはデバイスをまたぐ認証技術をOSに実装することで、デバイス間の切り替えをしやすくする仕組みの構築だ。

毎週のイベントに無料参加できる!
『WIRED』日本版のメンバーシップ会員 募集中!

次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら