10月12日(米現地時間)、米GoogleはAndroidとChromeで「パスキー」の初期サポートを始めたことを発表しました。今後はさまざまなデバイスやプラットフォームで、パスワードを使わない、より安全な認証システムが広がることになりそうです。
Googleによれば、「パスキーはパスワードやその他のフィッシング可能な認証要素に代わる、より安全性の高い認証手段」とのこと。2022年5月、同社とAppleおよびMicrosoftは、この仕組み(「FIDO認証資格情報」とも言われる)をウェブサイトやアプリで広げて行くことを約束していました。
パスキーはパスワード入力が不要になるばかりか、フィッシング攻撃(相手を騙して重要な情報を引き出すサイバー犯罪)からユーザーを守ることにも繋がります。パスキーは再利用できず、サーバー攻撃で漏えいする恐れもないとのことです。
ウェブ管理者はWeb Authentication API(WebAuthn)を通じてサイトにこの技術を組み込むことができる、とGoogleは述べています。また、アプリ開発者は最新のGoogle Play Servicesベータ版をダウンロードし、アプリ内でパスキーのテストを始めることが可能とのこと。
さらに、2022年内にはAndroidのネイティブアプリ用のAPIも登場する予定だそう。このAPIを使ったアプリでは、対応プラットフォームにログインする場合、パスキーか保存されたパスワードのどちらかを選べるようになります。
Androidスマートフォンでパスキーを作る手順は、わずか2ステップ。(1)アカウント情報を確認、(2)指紋や顔認証などで本人確認。
同様にサインインも簡単で、(1)サインインしたいアカウントを選択、(2)要求されたら指紋や顔で認証。パスキーはGoogleパスワードマネージャが管理し、自動的にクラウドにバックアップされるため、もしもスマホを紛失しても利用不可になることはありません。
パスキーは「パスワードをなくそう」という業界全体の取り組みの一環のため、さまざまなデバイスやブラウザの壁をまたいで利用することができます。例えば、Androidスマホに保存されたパスキーを使って、MacBookのSafariで対応サイトにサインインしたり、iPhone内のパスキーを用いてWindows上でChromeにサインインしたり。
パスワードは漏えいする恐れがあるため、サービスによっては定期的に変更を求められることがあり、厄介な存在となりつつあります。まもなく「パスワードのない未来」がやって来ると期待したいところですね。
Source:Android Developers Blog
via:Engadget