パスキー

パスキーは、パスワードを完全に置き換える目的で設計された次世代の認証方式です。ユーザーがパスワードを覚えて入力する代わりに、スマートフォン・パソコンの指紋・顔認証・画面ロックPINで本人確認を行うだけでログインできます。Apple・Google・Microsoftが共同で推進し、FIDO Allianceの『FIDO2/WebAuthn』規格に基づいて実装されています。

仕組みは公開鍵暗号に基づきます。アカウント作成時、端末内で『公開鍵と秘密鍵のペア』が生成され、公開鍵だけがサービス側に登録されます。秘密鍵は端末のセキュアな領域（SecureEnclave、TPM等）に保存され、外部には一切出ません。ログイン時はサービス側からのチャレンジに対して秘密鍵で署名を生成し、それをサーバーが公開鍵で検証する、という流れです。パスワードそのものが存在しないため、漏れる概念すらありません。

パスキーの利点は甚大です。①パスワードリスト攻撃・総当たり攻撃が原理的に成立しない、②フィッシングに強い（偽サイトには本物のドメインに紐づく秘密鍵が存在しないため署名できない）、③記憶が不要（指紋・顔でログイン）、④入力不要でログインが速い、⑤アカウントごとに別鍵なので横展開リスクなし。

パスキーはiCloudキーチェーン・Googleパスワードマネージャー・Windows Helloなどを通じて端末間で同期できます。iPhoneで作ったパスキーがMacやiPadでも使える、Androidで作ったパスキーがChromebookでも使える、という相互運用が可能です。

2026年時点で対応サービスは急増しており、Google・Apple ID・Microsoft・Amazon・メルカリ・PayPal・GitHub・X（Twitter）・任天堂などが順次導入しています。パスワードの完全廃止にはまだ数年かかりますが、少なくとも主要アカウントではパスキーを有効化しておくのが推奨です。

注意点は『リカバリー手段』の確保です。端末を紛失し、クラウド同期設定もしていないと、ログインできなくなります。必ずiCloudキーチェーンやGoogleパスワードマネージャーで同期を有効にしておき、予備デバイスやバックアップコードも併用するのが安全運用です。