パスワード不要で簡単・安全!「パスキー」って何?
こんにちは ディジタルライフ・コンシェルジュの田中好明です。
最近、いろんなサービスにログインしようとすると
「パスキーを作成しますか?」
などパスワードじゃなくて、『パスキー』という言葉が気になりました。
パスワードと何が違うの?
皆さん「パスキーって何か得体の知れない物のような気がして」無視していませんか?
AIのCopilotに聞いてみても
「パスキー」は、従来のパスワードを使用しない新たな認証方法です。指紋や顔を使う生体認証、あるいはスマートフォンの画面ロック認証を使ってアカウントにログインします。パスワードを利用しないことから、不正アクセス防止に高い効果を発揮します・・・
など長々と説明が続いて、やっぱりなんだかよくわかりません(>_<)
いろいろ調べてみて、自分なりに「こんな感じかなぁ」と理解したつもりですのでご紹介します。
長文になりますが、我慢してお付き合いください<(_ _)>
【パスキーって?】
パスワードの代わりに公開鍵暗号化方式を使ってアカウントの認証ができる仕組みで、パスワードレスと言われるもの
【まずは、公開鍵暗号化方式】
公開暗号化方式は、マイナンバーカードでも本人確認や他のシステムでも実用化されている技術で、秘密鍵と公開鍵を使って安全な通信を実現しています。
さて、公開鍵暗号化方式がわかった上で「パスキー認証の仕組みは?」
前提条件として、最初の1回だけパスワードを使って、サービス提供者(GoogleやMicrosoft)と通信し、
Aさんのパソコンやスマホ(以下デバイスと表現します)に秘密鍵、
サービス提供者側のサーバーにAさんの公開鍵を設定します。
このことを、パスキーを設定するといいます。
Aさんは自身のデバイスを使って、サービス提供者(Googleや毎Microsoft)に接続要求をします
サービス提供者は公開鍵を使って、認証要求とチャレンジデータを暗号化してAさんのデバイスにデータを送ります チャレンジデータはランダムな文字列です
Aさんは指紋や顔認証・パスコードなどを使って、そのデバイスの使用者が本人であることを証明し、送られてきたチャレンジデータを秘密鍵を使って復号化します
復号化したチャレンジデータを再度Aさんの秘密鍵を使って暗号化し、サービス提供者へ送信します
サービス提供者は、Aさんの公開鍵と使ってチャレンジデータを復号化し、Aさんへ送ったチャレンジデータをAさんから送られてきたチャレンジデータを照合し、Aさんは間違いなく、サービスを受ける権利があると本人確認します
以上のように一度パスキーを設定すると、以降は本人確認にパスワードが使われることはありません。そのためパスワードレス認証と呼ばれています。
パスワードが使われないということは、パスワードを盗まれないという事です。
この方式では、昨今話題のフィッシング詐欺(嘘のホームページに誘導し、パスワードなど個人情報を入力されデータを盗む)も防げます。
パスワードを覚えなくても良いというのも魅力ですね。
このようにパスキー認証は、安全でユーザにも魅力的な認証方式です。
現在様々なサービス提供者がパスキー認証機能をどんどん取り入れています。
ざっくりと「パスキー認証」を説明しましたが、皆さんの、得体のしれない物!との認識が少しでも和らいだら幸いです。
ディジタルライフ・コンシェルジュ 田中好明(熊本)
わく楽パソコン教室
Comments