筆者の下に父から突然、「パスワードとパスキーの違いは何だ?」というメッセージが届いた。父は、いつものようにネットサーフィンをしていた際、あるウェブサイトかアプリケーション(認証用語で言うところの「Relying Party」)で、パスキーを作成するよう促されたらしい。しかし、その利点は父には明確ではなく、緊急性も感じられなかったようだ。父は、筆者がパスキーについて知っており、次に設定を促された際にどうすべきかも分かっているだろうと考えたのである。
父が見たようなプロンプトは、われわれの日常的なデジタル生活において、今後ますます一般的になるだろう。実際、パスキーによってパスワードを排除しようという、テック業界の壮大な計画の一部なのである。筆者はその計画の支持者であるが、実現のタイミングについては、他の人々ほど楽観視はしていない。
普及への障壁
現在のパスキー導入計画は、強固な技術的基盤の上に成り立っているものの、多くの重要な詳細が短期的な普及の障壁となっている。例えば、特定のウェブサイトでパスキーを設定すること自体は、かなりシームレスなプロセスであるはずだ。しかし、そのパスキーを完全に無効にするには、いまだ自動化されていない手動の多段階プロセスに頼らざるを得ない。
さらに問題を複雑にしているのは、現在のパスキーに関するユーザー向けの実装には互いに大きく異なるものがあり、この点がエンドユーザーを混乱させる可能性があることだ。ユーザーは、従来のユーザーIDとパスワードの入力画面のように、一般的で認識しやすく、簡単に繰り返せるユーザー体験を求めているのである。
これらの障壁などが存在する限り、パスキーへの移行戦略について、より総合的に考える時間は十分にある。そして、ありがたいことに、戦略を練り直す時間もある。あなたも、その時間を必要とするかもしれない。
Appleが2021年に、FIDO Allianceの下でGoogleやMicrosoftなどと共に開発したパスキー標準の実装を明らかにして以来、米ZDNETをはじめとするさまざまなメディアで、個人や企業にとってのパスキーの利点と普及に関する多くの記事が書かれてきた。一言で言えば、パスキーの背後にある主な考え方は、パスワードを不要にすることである。われわれの慢性的な物忘れや、ベストプラクティス(複数ウェブサイトでパスワードを使い回さないことなど)に対する無理解など、さまざまな理由から、パスワードは厄介な存在であり、その排除は、最終的にフィッシングやスミッシングに終止符を打つ可能性を秘めている。
パスキーの推進者たちは、パスキーを用いたログインを「パスワードレス認証」と呼ぶことがある。これは、Relying Partyに渡すべきパスワードが存在しなければ、悪意のある攻撃者に渡るパスワードもない、という理屈に基づいている。しかし、少数のウェブサイトやアプリがパスキーに対応したからといって、すぐにパスワードが無効になるわけではない。ユーザーIDとパスワードが依然として有効な認証形式である限り、ハッカーはそれらを巧みにフィッシングやスミッシングの対象とするだろう。
パスキーの「魔法」
ログイン認証情報にパスワードが使われていようと、パスキーが使われていようと、そのプロセスには常に何らかの「秘密」が関与する。過去30年間、パスワードがハッキングされ、銀行口座が空になり、個人情報が盗まれるといった多くの恐ろしい事態が発生した後、テック業界はようやく、自分たちがパスワードの保護に長けていないという明白な事実に気づいたのである。
テキストメッセージで送信されるワンタイムコードや認証アプリ、その他いわゆる認証要素といった応急処置を施した後でさえ、パスワードは依然として不確実であることが証明されている。あるケースでは悪意のある攻撃者が依然としてシステムに侵入し、また別のケースでは正当なユーザーが自身のアカウントから締め出されるといった事態が発生した。「ブタに口紅」(うわべを取り繕っても本質は変わらない)とよく言われる通りである。
パスキーの提唱者たちは、パスキーがパスワードに終わりをもたらすと語る。しかし、真実は、パスワードはずっと以前に、ただし別の意味で、死んでいたということだ。われわれは皆、舞台裏で何が起こっているかを深く考えずにパスワードを使用してきた。パスワードとは、特別な種類の秘密、すなわち「共有される秘密」あるいは「対称的な秘密」なのである。
ほとんどのオンラインサービスやアプリケーションでは、パスワードを設定する際、まずそのパスワードをRelying Party、つまりウェブサイトやアプリの運営者と共有する必要がある。共有シークレットは、非常に安全性が高く、かつ一時的な特定の状況下(例えば、暗号化されたデータのトンネル伝送)ではうまく機能することが歴史的に証明されている。しかし、ウェブサイト「HaveIBeenPwned.com」がわれわれに何かを教えてくれるとすれば、それはサイトやアプリの認証がそのような状況には当てはまらない、ということだ。パスワードはあまりにも容易に漏えいしてしまうのである。
対照的に、パスキーは決して共有されることのない秘密を伴う。その秘密、すなわち公開鍵/秘密鍵ペアにおける秘密鍵部分は、常にエンドユーザーの手元に保持され、Relying Partyに提供されることは決してない。エンドユーザーがRelying Partyで認証情報を確立またはリセットする際、あるいはログインする際にも提供されることはない。もしあなたがサイバーセキュリティについて多少の知識があり、公開鍵暗号が関与しているのではないかと推測したならば、優れた直感の持ち主だ。パスキー利用における技術的な構成要素は、標準的な公開鍵暗号のワークフローそのものなのだ。
しかし、筆者の父のようにテクノロジーに詳しくない人々にとって、秘密のパスワードを要求されずにサイトやアプリにログインできるという考えは、まるで魔法のように聞こえるだろう。そして、もしあなたが既にパスキーの自動的な性質を経験しているならば、それは確かに魔法のように感じられるはずだ。この仕組みを説明した際、父は信じようとしなかった。もしかしたら、あなたもそうかもしれない。
パスキーのユーザー体験において著しく欠けているのは、何らかの情報の「交換」が行われていると感じさせるような、目に見える要素が存在しない点である。認証プロセスは不気味なほど高速で、ユーザーに思考の隙を与えない。一方で、「ありとあらゆるものの保護には秘密のパスワードが必要だ」という考えが意識に深く根付いている人にとって、「パスワードレス」のような代替案は、ほとんど侮辱的とさえ感じられるだろう。
Yubicoで標準およびアライアンス担当バイスプレジントを務めるDerek Hanson氏も、この点に同意する。Yubicoは、ユーザーがさまざまなサイトやアプリのパスキーを保存できる、指先サイズのUSBデバイスやワイヤレス(NFC)デバイスを製造している企業である。同氏はまた、FIDO Allianceの複数のワーキンググループ、特に同組織のユーザー体験とマーケティングコミュニケーションに関するグループにも深く関与している人物だ。
