パスワードは古い？｢パスキー｣の導入企業が急増 気になる｢セキュリティと利便性｣両立の仕組み

「パスワードは覚えるのが大変で、フィッシング詐欺のように第三者に盗まれ悪用される問題も絶えない。そこで世界のIT業界の有志が集まり、2012年にFIDOアライアンスを立ち上げ、使い勝手とセキュリティを両立する認証方法の標準化を目指してきた。

その結果、利用が広がり始めているのが、公開鍵暗号方式を活用したパスキーだ。これは、パスワードという短い『テキスト文字列』ではなく、暗号化されたランダムな文字列からなる『ペアの鍵』を使う認証方式となっている」

｢フィッシング攻撃｣を防ぐ仕組みとは？

例えば、ユーザーがスマホの生体認証を使ってあるウェブサービスのログインを行いたい場合、まずはそのサービス提供者にパスキーの登録を要求する。すると、スマホに内蔵されている認証器に「チャレンジ」と呼ばれるコードが送信され、ユーザーは本人確認が求められる。

そこで指紋や顔などの生体情報を使って本人認証を行うと、「秘密鍵」と「公開鍵」というペアの鍵がつくられる。認証器は秘密鍵を使い、先ほど送られてきたチャレンジに署名をして公開鍵とともにサービス提供者に送信する。

サービス提供者は公開鍵で署名付きチャレンジを検証し、問題がなければパスキーの登録を要求したユーザーと公開鍵との関係を記録して、登録完了となる。

ログインの仕組みもほぼ同じ流れだ。ユーザーがウェブサービスにログインを要求すると、スマホにチャレンジが送られてくる。生体情報で本人認証を行うと、認証器は秘密鍵でチャレンジに署名をし、サービス提供者に送信。サービス提供者はそのユーザーの登録済みの公開鍵で署名付きチャレンジを検証し、間違いがなければログインが許可される。