Google の Passkey：すべてのアカウントで安全なパスワードレス・サインインを実現

Google adds passkeys support for passwordless sign-in on all accounts

2023/05/03 BleepingComputer — Google は、すべてのサービスとプラットフォームにおいて、Passkey for Google Accounts のサポートを展開している。それにより、ユーザーはログイン時に、パスワードの入力や、2-Step Verification (2SV) に頼ること無く、Google アカウントにサインインできるようになる。Google の Product Managers である Christiaan Brand と Sriram Karra は、「私たちは、すべての主要なプラットフォームで、Google アカウント全体に対する Passkey のサポートを開始した。これにより、ユーザーは Google サービス全体で Passkey を活用し、パスワード不要のサインイン・エクスペリエンスを実現できるようになった」と述べている。

この Passkey は、アカウントに追加された各デバイス (コンピュータ／タブレット／スマートフォン) とリンクされ、PIN または スクリーンロック生体認証 (指紋または顔認証) でロックをローカルで解除することで動作する。それにより、他のアカウントに影響を及ぼす、データ漏洩のリスクを大幅に低減し、アカウントの乗っ取りを排除し、フィッシング攻撃からの保護を推進する。

パスワードに代わる、より安全で便利な方法として、生体認証センサー (指紋スキャナーなど)／暗証番号／パターンなどを活用して、Web サイトやアプリへのサインインを行うことで、パスワードを記憶／管理する必要がなくなる。

Google の Arnar Birgisson と Diana K Smetters は、「この署名は、秘密鍵を持っているデバイスが、あなたのものであることを証明する。それにより、正規のユーザーが、ロックを解除しようとしていること、そして、実際にサインインしようとしている対象が Google であり、媒介するフィッシング・サイトではないことが確認される。この仕組を機能させるために、Google と共有されるデータは、公開鍵と署名だけだ。どちらにも、あなたの生体認証に関する情報は一切含まれない」と述べている。

現時点における Passkey は、あなたがデバイスにアクセスできないとき、または、デバイスが Passkey をサポートしていないときに、代替手段を確保するものに過ぎない。とまり、パスワードを使ってログインするための、Google のサインイン・オプションの１つに過ぎないだろう。

ただし、Passkey は安全にバックアップされ、クラウドに同期されるため、Passkey を生成したデバイスを紛失しても、ロックアウトを防ぐことができる。また、新しいデバイスへのアップグレードも簡単になる。この仕組みは、すべての主要な Web ブラウザおよび、プラットフォーム (Windows／macOS／iOS／ChromeOS など) で機能する。

たとえば、iPhone で Passkey を作成すると、同じ iCloud アカウントにサインインしている他の Apple デバイスでも、同じようにパスワードレスで利用できるようになる。

数年前から始まったパスワードレス・プッシュの一環

Google は、2022年10月に Chrome と Android で Passkey のサポートを開始しているが、今日の発表は、それに続くものだ。この２つの製品での動きは、Passkey の採用を加速させるための、より広範な取り組みの一環である。2022年5 月には、World Wide Web Consortium (W3C) と FIDO Alliance が開発したパスワードレスのサインイン標準として、Passkey などをサポートする計画が共同で発表された。

2022年5月には、Microsoft と Apple も、Passkey のサポートを約束している。つまり、この新しい Web Authentication (WebAuthn) クレデンシャル (別名：FIDO credentials) は、三大大手のプラットフォームにおいて、パスワードレスでアカウントにログインするための標準的な方法になる。

2018年4月の時点で、Google／Microsoft／Mozilla は、Chrome／Edge／Firefox 内で新たな API をサポートする計画を発表して以来、WebAuthn をバックアップしてきた。

オンライン IDを 乗っ取ろうとする攻撃者が、最も頻繁にターゲットにするのがパスワードであるため、パスワード・ベースの認証から Passkey への移行は、オンライン・セキュリティを強化することになる。

Google の Christiaan Brand と Sriram Karra は、「Passkey の利便性と安全性を試してほしいが、パスワードや 2SV などの方法も、Google アカウントで引き続き使用できる。

Google Workspace アカウントの管理者に対しても、エンドユーザーのサインイン時に Passkey を有効化するオプションが、近々に提供される予定だという。

今回の Passkey 発表に先立って、2023/04/25 には「Google Authenticator の新機能：TOTP コードのクラウド・バックアップが可能に」という記事がポストされていました。そちらの記事を読む限りでは、それほど嬉しいとは感じませんでしたが、今日の記事と合わせてみると、なんとなく Google の意図が伝わってきます。Microsoft と Apple が、相乗りしているという点も好感が持てます。じっくりと考えてみるべき、提案だと思います。