Google と Passkeys: すでに4億以上のアカウントでユーザーを認証している

Google Announces Passkeys Adopted by Over 400 Million Accounts

2024/05/03 TheHackerNews — 5月2日 (木) に Google が発表したのは、4億以上の Google アカウントで Passkeys が使用され、これまでの2年間で 10億回以上もユーザーを認証してきたことだ。Google の VP of Security Engineering である Heather Adkins は、「Passkeys は使いやすく、フィッシングに強く、指紋/顔スキャン/ピンのみに依存するため、パスワードよりも 50% も高速である」と述べている。SMS OTP (one-time passwords) や、アプリベースの OTP といった、従来からの二要素認証の合計数よりも、すでに Passkeys は、Google アカウントの認証において数多く使われていると、同社は指摘している。


また Google は、ユーザーの Google アカウントに接続された、サードパーティ製のアプリやサービスで不審なイベントが発生した場合に警告を発する “Cross-Account Protection” を、より多くのアプリやサービスに拡大するとしている。

さらに Google は、Advanced Protection Program (APP) の一環として、リスクの高いユーザーに対する Passkeys の使用をサポートする計画を持っている。この人選には、選挙運動員/候補者/ジャーナリスト/人権活動家などが含まれる。

これまでの APP では、第二要素としてハードウェア・セキュリティ・キーを必要としてきたが、それ加えて今後は、任意の Passkeys の登録や、唯一の認証手段としての Passkeys の使用も可能になる。

2022年12月に Google は、Chrome にパスキーを追加した。それ以来、すべてのプラットフォームの Google アカウントにおいて、このパスワードレスの認証ソリューションをデフォルトで展開している。

Passkeys を使用している企業としては、1Password/Amazon/Apple/Dashlane/Docusign/eBay/Kayak/Microsoft/PayPal/Shopify/Uber/WhatsApp などがある。

この展開は、2023年9月に Microsoft が、Windows 11 に Passkeys を統合した日から始まっている。Microsoft は、Windows/Google/Apple のプラットフォームにおいて、生体認証またはデバイス PIN を使用する、コンシューマ・アカウントの認証標準をサポートする計画を、この日に発表したのだ。

Google Passkeys


それぞれのデバイスに保存される Passkeys の秘密鍵と、アプリや Web サイトと共有される Passkeys の公開鍵の間で、暗号鍵ペアを作成することで、この仕組みは機能する。

Microsoft の Vasu Jakkal は、「このキー・ペアの組み合わせは一意であるため、その Passkeys は作成した Web サイトやアプリでのみで、この仕組みは機能する。したがって、悪意の偽 Web サイトに騙されてサインインすることが無くなる」と述べている。

Passkey は、1Password/Dashlane のようなサードパーティのパスワード管理ソリューションに保存することも可能である。つまり、Google パスワードマネージャ/iCloud キーチェーン/Windows 以外であっても、その保存先を自由にコントロールできる。

Google の Product Managers である Sriram Karra と Christiaan Brand は、「Passkey は第一要素および第二要素として、同時に機能する。したがって、セキュリティキーに Passkey を作成することで、パスワード入力を省略できる。それにより、リモートに保存されているパスワードが、セキュリティキーのロック解除で用いた暗証番号に置き換えられ、ユーザーのセキュリティが向上する」と指摘している。

しかし、ユーザーやオーディエンスをプラットフォームに取り込む手段として、Passkey が企業に利用されてしまうと、優れたユーザー・エクスペリエンスを、企業の利益が凌駕するという展開が繰り返される。

webauthn-rs の開発に携わったソフトウェア・エンジニアである William Brown は、「ユーザーを長期的に囲い込むには、あなたのプラットフォームに、すべての認証情報をロックさせるのが一番だ」と指摘している。

4億以上もの Google アカウントで、すでに Passkeys が使用されているとのことです。自分のアカウントがでも使用されていのかどうか、そのあたりが分かりませんが、おそらく米国内からでしょうね。大手による移行が順調に進んでいますが、文中で William Brown さんが指摘しているような、囲い込みにならないとよいですね。なお、同日に、Microsoft も Passkeys 対応について発表しています。よろしければ、Passkeys で検索も、ご利用ください。