以前も言ったように、パスワードは最悪だ。でっち上げた祝日も最悪だが、「パスワード変更の日」(今週後半の2月1日に到来)は、パスワードを捨て去る絶好の口実になる。
このお祝いの目的は?パスワードをより安全に更新することです。例えば、password12345(うわあ)をついに捨てて、 XSmpJAI5v@NtG-7L#Q2Fを使うとか。あるいは、パスフレーズの方が好みなら、Water-Whom-Atom-Flame-Snake5 とか。
でも、アップデートなんてどうでもいい。置き換えればいい。具体的には、パスワードをパスキーに置き換えることだ。
パスキーは暗記する必要がなく、スマートフォンに直接保存でき、パスワードよりも強力です。特にフィッシング攻撃に強いという利点があります。また、ウェブサイトがハッキングされた場合でも(最近では実際に起こり得ます)、認証情報は解読されたり、他人に使用されたりすることはありません。
パスキーを作成すると、公開鍵と秘密鍵の両方が生成されます(これは公開鍵暗号または非対称暗号と呼ばれます)。秘密鍵はデバイスまたはパスワードマネージャーに保存されます。サポートされているデバイスには、スマートフォン、タブレット、YubiKeyなどのハードウェアドングル、互換性のあるPCなどがあります。パスキーは、デバイス上にローカルに保存するか、クラウドに保存するかを選択できます。
これらの秘密キーは、デバイスの生体認証 (指紋や顔など)、またはパスワード マネージャーを保護する方法によって保護されます。
アライナ・イー / ファウンドリー
一方、公開鍵は、生成されたウェブサイトと共有されます。公開鍵と秘密鍵の両方が紐付けられているアカウントにログインするには、両方の鍵が必要です。ログインするたびに、ウェブサイトはあなたがアカウント所有者であることを証明するよう求めます。証明は次の手順で行われます。
- 検証プロセスを開始するためのリクエストがデバイス (またはパスワード マネージャー) に送信されます。
- リクエストを承認するには、指紋、顔スキャン、またはその他の認証方法が必要です。
- 承認すると、秘密鍵 (シークレット キーとも呼ばれます) を使用してデジタル署名が作成され、Web サイトに送信されます。
- ウェブサイトはデジタル署名を使用して、あなたが提供した公開鍵の暗号解除を試みます。成功した場合、ログインできます。
パスキーが正しく実装されていれば、公開鍵から秘密鍵を推測することはできないため、データ漏洩や侵害の危険性は低くなります(少なくともパスワードの安全性に関しては)。また、パスキーは生成された特定のサイトでのみ有効であるため、フィッシング詐欺でパスワードを盗むような、悪意のある偽サイトに盗まれたり利用されたりすることもありません。
パスキーの唯一の問題点は、デバイスにローカルに保存した場合、デバイスを紛失するとアカウントにアクセスできなくなる可能性があることです。しかし、バックアップデバイス(タブレットや古いスマートフォン)やハードウェアドングルがあれば、この問題は簡単に解決できます。また、非常に安全なパスワードと2段階認証をバックアップとして使用することもできます。
最後のオプションはパスワードを完全に回避できるわけではありませんが、少なくとも日常的なセキュリティ対策としてはほぼ万全です。個人的には、自動入力機能付きのパスワードマネージャーを使用している場合でも、パスキーを使ったログインの方がパスワードを使うよりも速いと感じています。
Google、Apple、Microsoftなどの主要サービスや、Amazon、Target、Best Buyなどの大手ストアから始めるのも良いでしょう。パスキーはまだすべてのアプリやサイトでサポートされているわけではありませんが、頻繁にアクセスするアプリやサイト、そして請求情報などの機密情報を扱うサイトをパスキーに切り替えるだけでも、オンラインライフはより安全で便利になります。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
