Skip to content

IoT OT Security News

  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News

Google の Passkey:すべてのアカウントで安全なパスワードレス・サインインを実現

Google adds passkeys support for passwordless sign-in on all accounts

2023/05/03 BleepingComputer — Google は、すべてのサービスとプラットフォームにおいて、Passkey for Google Accounts のサポートを展開している。それにより、ユーザーはログイン時に、パスワードの入力や、2-Step Verification (2SV) に頼ること無く、Google アカウントにサインインできるようになる。Google の Product Managers である Christiaan Brand と Sriram Karra は、「私たちは、すべての主要なプラットフォームで、Google アカウント全体に対する Passkey のサポートを開始した。これにより、ユーザーは Google サービス全体で Passkey を活用し、パスワード不要のサインイン・エクスペリエンスを実現できるようになった」と述べている。


この Passkey は、アカウントに追加された各デバイス (コンピュータ/タブレット/スマートフォン) とリンクされ、PIN または スクリーンロック生体認証 (指紋または顔認証) でロックをローカルで解除することで動作する。それにより、他のアカウントに影響を及ぼす、データ漏洩のリスクを大幅に低減し、アカウントの乗っ取りを排除し、フィッシング攻撃からの保護を推進する。

パスワードに代わる、より安全で便利な方法として、生体認証センサー (指紋スキャナーなど)/暗証番号/パターンなどを活用して、Web サイトやアプリへのサインインを行うことで、パスワードを記憶/管理する必要がなくなる。

Google の Arnar Birgisson と Diana K Smetters は、「この署名は、秘密鍵を持っているデバイスが、あなたのものであることを証明する。それにより、正規のユーザーが、ロックを解除しようとしていること、そして、実際にサインインしようとしている対象が Google であり、媒介するフィッシング・サイトではないことが確認される。この仕組を機能させるために、Google と共有されるデータは、公開鍵と署名だけだ。どちらにも、あなたの生体認証に関する情報は一切含まれない」と述べている。

現時点における Passkey は、あなたがデバイスにアクセスできないとき、または、デバイスが Passkey をサポートしていないときに、代替手段を確保するものに過ぎない。とまり、パスワードを使ってログインするための、Google のサインイン・オプションの1つに過ぎないだろう。

ただし、Passkey は安全にバックアップされ、クラウドに同期されるため、Passkey を生成したデバイスを紛失しても、ロックアウトを防ぐことができる。また、新しいデバイスへのアップグレードも簡単になる。この仕組みは、すべての主要な Web ブラウザおよび、プラットフォーム (Windows/macOS/iOS/ChromeOS など) で機能する。

たとえば、iPhone で Passkey を作成すると、同じ iCloud アカウントにサインインしている他の Apple デバイスでも、同じようにパスワードレスで利用できるようになる。

Signing into a Google account with a passkey
Signing into a Google account with a passkey (Google)

数年前から始まったパスワードレス・プッシュの一環

Google は、2022年10月に Chrome と Android で Passkey のサポートを開始しているが、今日の発表は、それに続くものだ。この2つの製品での動きは、Passkey の採用を加速させるための、より広範な取り組みの一環である。2022年5 月には、World Wide Web Consortium (W3C) と FIDO Alliance が開発したパスワードレスのサインイン標準として、Passkey などをサポートする計画が共同で発表された。

2022年5月には、Microsoft と Apple も、Passkey のサポートを約束している。つまり、この新しい Web Authentication (WebAuthn) クレデンシャル (別名:FIDO credentials) は、三大大手のプラットフォームにおいて、パスワードレスでアカウントにログインするための標準的な方法になる。

2018年4月の時点で、Google/Microsoft/Mozilla は、Chrome/Edge/Firefox 内で新たな API をサポートする計画を発表して以来、WebAuthn をバックアップしてきた。

オンライン IDを 乗っ取ろうとする攻撃者が、最も頻繁にターゲットにするのがパスワードであるため、パスワード・ベースの認証から Passkey への移行は、オンライン・セキュリティを強化することになる。

Google の Christiaan Brand と Sriram Karra は、「Passkey の利便性と安全性を試してほしいが、パスワードや 2SV などの方法も、Google アカウントで引き続き使用できる。

Google Workspace アカウントの管理者に対しても、エンドユーザーのサインイン時に Passkey を有効化するオプションが、近々に提供される予定だという。

今回の Passkey 発表に先立って、2023/04/25 には「Google Authenticator の新機能:TOTP コードのクラウド・バックアップが可能に」という記事がポストされていました。そちらの記事を読む限りでは、それほど嬉しいとは感じませんでしたが、今日の記事と合わせてみると、なんとなく Google の意図が伝わってきます。Microsoft と Apple が、相乗りしているという点も好感が持てます。じっくりと考えてみるべき、提案だと思います。

Share this:

  • Tweet
Like Loading...
Unknown's avatarAuthor AiototsecPosted on May 3, 2023May 16, 2023Categories AuthN AuthZ, Literacy, Privacy, Research, Scammer, Zero TrustTags Account, Android, Apple, authN authZ, Chrome, Chrome OS, Edge, FIDO, Firefox, Google, iOS, iPhone, Literacy, macOS, Microsoft, Mozilla, Passkey, Passkey for Google Accounts, Phishing, Privacy, Research, Scammer, W3C, WebAuthn, Windows, Zero Trust

Post navigation

Previous Previous post: Apple と Google が連携:AirTags 悪用などによる不正追跡を排除するスタンダードとは?
Next Next post: Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Categories Dropdown

  • Twitter
  • Facebook
May 2023
M T W T F S S
1234567
891011121314
15161718192021
22232425262728
293031  
« Apr   Jun »

Top Posts & Pages

  • Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?
  • Microsoft Office ログイン時の Something Went Wrong:改善の第一弾とは?
  • Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩
  • 70種類のペンテスト・ツールを統合:NETREAPER が提供するシンプルなメニュー・ベースの環境とは?
  • OpenSSH の脆弱性 CVE-2025-61984 が FIX:ProxyCommand 経由での RCE と PoC 公開
  • CodeRabbit 本番環境サーバにおける RCE 脆弱性:100 万件以上のリポジトリに影響が生じた可能性
  • Apache Tomcat の複数の脆弱性が FIX:サービス拒否と認証バイパスの恐れ
  • React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認
  • React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン
  • LockBit 5.0 のインフラが漏洩:判明した IP アドレスとドメインのブロックが必須

Categories

API APT Asia AuthN AuthZ BruteForce BugBounty CyberAttack DarkWeb DataBreach DataLeak DDoS DoubleExtortion Exploit Literacy LOLbin MageCartAttack Malware MCP MisConfiguration NHI Outage ParadigmShift Privacy Protection RaaS Ransomware RAT Repository Research Resilience Scammer SecTools SocialEngineering SupplyChain TTP Uncategorized Vulnerability WateringHoleAttack Zero Trust _AI/ML _CDN _Cloud _Container _CryptCcurrency _Defence _Education _Finance _Government _HealthCare _Human _ICS _IDS/IPS _Industry _Infrastructure _Mobile _OpenSource _PLC _Regulation _Retail _RTOS _Space _Statistics _Storage _Telecom _Transportation

Archives

  • December 2025 (46)
  • November 2025 (156)
  • October 2025 (177)
  • September 2025 (172)
  • August 2025 (165)
  • July 2025 (176)
  • June 2025 (192)
  • May 2025 (216)
  • April 2025 (192)
  • March 2025 (208)
  • February 2025 (181)
  • January 2025 (185)
  • December 2024 (172)
  • November 2024 (166)
  • October 2024 (184)
  • September 2024 (171)
  • August 2024 (183)
  • July 2024 (188)
  • June 2024 (156)
  • May 2024 (156)
  • April 2024 (155)
  • March 2024 (151)
  • February 2024 (131)
  • January 2024 (132)
  • December 2023 (116)
  • November 2023 (131)
  • October 2023 (124)
  • September 2023 (101)
  • August 2023 (111)
  • July 2023 (110)
  • June 2023 (113)
  • May 2023 (129)
  • April 2023 (127)
  • March 2023 (129)
  • February 2023 (118)
  • January 2023 (138)
  • December 2022 (106)
  • November 2022 (114)
  • October 2022 (120)
  • September 2022 (118)
  • August 2022 (133)
  • July 2022 (97)
  • June 2022 (117)
  • May 2022 (94)
  • April 2022 (112)
  • March 2022 (132)
  • February 2022 (105)
  • January 2022 (128)
  • December 2021 (111)
  • November 2021 (100)
  • October 2021 (110)
  • September 2021 (131)
  • August 2021 (105)
  • July 2021 (105)
  • June 2021 (103)
  • May 2021 (72)
  • April 2021 (58)

Categories

  • API (238)
  • APT (523)
  • Asia (398)
  • AuthN AuthZ (789)
  • BruteForce (66)
  • BugBounty (73)
  • CyberAttack (3,201)
  • DarkWeb (228)
  • DataBreach (550)
  • DataLeak (194)
  • DDoS (164)
  • DoubleExtortion (15)
  • Exploit (1,361)
  • Literacy (2,281)
  • LOLbin (57)
  • MageCartAttack (14)
  • Malware (1,421)
  • MCP (16)
  • MisConfiguration (57)
  • NHI (8)
  • Outage (106)
  • ParadigmShift (181)
  • Privacy (240)
  • Protection (649)
  • RaaS (121)
  • Ransomware (721)
  • RAT (777)
  • Repository (325)
  • Research (1,210)
  • Resilience (133)
  • Scammer (614)
  • SecTools (210)
  • SocialEngineering (47)
  • SupplyChain (404)
  • TTP (1,001)
  • Uncategorized (11)
  • Vulnerability (4,503)
  • WateringHoleAttack (4)
  • Zero Trust (382)
  • _AI/ML (306)
  • _CDN (4)
  • _Cloud (364)
  • _Container (73)
  • _CryptCcurrency (40)
  • _Defence (162)
  • _Education (8)
  • _Finance (160)
  • _Government (1,037)
  • _HealthCare (47)
  • _Human (51)
  • _ICS (85)
  • _IDS/IPS (182)
  • _Industry (221)
  • _Infrastructure (129)
  • _Mobile (162)
  • _OpenSource (1,385)
  • _PLC (39)
  • _Regulation (158)
  • _Retail (76)
  • _RTOS (6)
  • _Space (26)
  • _Statistics (415)
  • _Storage (70)
  • _Telecom (77)
  • _Transportation (56)
  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News Blog at WordPress.com.
  • Reblog
  • Subscribe Subscribed
    • IoT OT Security News
      • Join 170 other subscribers
    • Already have a WordPress.com account? Log in now.
    • IoT OT Security News
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
 

Loading Comments...
 

You must be logged in to post a comment.

    %d