Amazon が Passkeys をサポート開始:パスワードレス・ログインの選択肢として

Amazon adds passkey support as new passwordless login option

2023/10/17 BleepingComputer — Amazon が静かに追加したのは、顧客向けの新しいパスワードレス・ログインの選択肢としての Passkeys のサポートであり、それにより、情報を盗み出すマルウェアやフィッシングに対する保護が強化されることになった。Passkeys とは、携帯電話/コンピューター/USBセキュリティキーなどのデバイスにリンクされた、生体認証や暗証番号を使った Web サイトへのログインを可能にするデジタル認証情報のことだ。

Passkeys を使用することで、ネットワークやデータの侵害や、アカウント漏洩のリスクを大幅に軽減できる。Passkeys は、フィッシング攻撃や情報を盗むマルウェアに対するセーフガードとして機能し、認証情報の盗難を防ぐものだ。

ユーザーの立場からの利点は、Passkeys によるアカウントへのログインにより、パスワード・マネージャーの使用や、サイトごとに異なるパスワードの記憶が不要になることだ。

Amazon が Passkeys のサポートを追加

最近になって Amazon は、Your Account の Login & security settings に、サイトへのログインで使用するための、Passkeys を生成できる新しい項目を追加した。

Passkey setting page on Amazon
Amazon の Passkeys 設定ページ
出典:BleepingComputer

Amazon の “Set up” をクリックすると、Windows Hello/Security Key/Mobile Device いずれかを使用して Passkeys を生成するよう促される。

Create a passkey
Passkeys の作成
出典 BleepingComputer

Amazon の Passkeys を設定するテストでは、Google Chrome と Microsoft Edge 上での Yubikey による Passkeys 生成は可能であり、Google Titan の Security Key では生成できなかった。Mozilla Firefoxでも、この機能は使えなかった。

さらに、Windows 11 では Windows Hello を使って Passkeys を作成できたが、Windows 10 は、この機能をサポートしていない。

Passkeys が生成されると、以下のプロンプトが次回のログイン時に表示され、パスワード入力もしくは、”Passkeys でサインイン” を選択できる。

Passkeys でサインイン
出典 BleepingComputer

Passkeys でサインインするためのオプションをクリックすると、ピンを入力するよう求められ、Yubikey をタッチすると Amazon にログインした。

注意しなければならないのは、Passkeys を設定しても、パスワードを用いるアカウント・ログインが可能なことである。

しかし、Passkeys の安全性により、パスワード入力のバイパスが可能であり、フィッシング・ランディング・ページでの、危険なパスワード入力は防止される。

Amazon における Passkeys のサポートは、セキュリティと使いやすさにおいて大きな前進だが、いくつかの問題がある。

たとえば、他の Passkeys 実装とは異なり、Amazon では Passkeys に個別に名前をつけて管理することができない。つまり、 Passkeys は一括りになっており、 Passkeys を削除したい場合は、すべての Passkeys を削除しなければならない。

さらに、すべての Amazon の地域サイトの間にはセキュリティ境界が存在するため、いずれかの Amazon サイトで作成した Passkeys が、他の地域の Amazon サイトで使用できないという問題が残る。

パスワードレスのサイトが増える

Passkeys の人気は高まっており、多くの企業でサポートが始まっている。先週に Google は、Passkeys をアカウントのデフォルトのサインイン選択肢にすると発表し、Microsoft は最新の Windows 11 22H2 ‘Moment 4’ アップデートにおいて、専用の Passkeys マネージャーを追加した。

また、昨日には WhatsApp が、Android ユーザーに対して、近い将来において Passkeys で WhatsApp にログインできるようになると Twitter で発表した。WhatsApp は、「Android ユーザーは顔認証/指紋認証/暗証番号認証のみで簡単かつ安全に WhatsApp アカウントに再ログインできる」とツイートしている。

他の有名サイトでは BestBuy/eBay/Paypal/GoDaddy などが、Passkeys に対応している。

静かに実装というのが、面白いですね。でも、まぁ、Apple/Google が旗振り役で、そこに Microsoft も乗ってきて、Amazon まで加わったことで、Passkeys はデファクト・スタンダードの仲間入りですね。よろしければ、Passkeys で検索も、ご利用ください。