その 1: パスキーを「どこに保存するか」を意識しよう
パスキーには「保存する場所」という概念がある。これはパスワードには無かった概念だから、慣れるまでは少し混乱する (僕はそうだった)。パスキーの保存場所のことを「パスキープロバイダ」と呼ぶ。
パスキーを作成すると、あなたが使用するパスキープロバイダに保存される。特別な設定をしない限り、あなたが使ってるパスキープロバイダはおそらく次の 3 種類のうちのどれか。Google パスワードマネージャーか、Windows Hello か、iCloud キーチェーン。Android を使ってれば Google だろうし、iPhone を使ってれば iCloud でしょうね。もちろん自分で設定すれば、他のパスワードマネージャ (例えば 1Password) にもパスキーは保存できる。
パスキーを作るときは、そのパスキーが「どこに保存されるのか?」をしっかり意識しよう。たいていのパスキープロバイダは自動的にデバイス間で同期するから、例えば Android スマホでパスキーを作って Google パスワードマネージャに保存すれば、同じパスキーを PC 上の Chrome から利用できるよ。
その 2: パスキーはたくさん作って構わない
1 つのサービスで複数のパスキーを作れるので、自分が使う可能性のあるパスキープロバイダそれぞれにパスキーを保存するとよい。例えば Goolge ログインのパスキーを 3 つ作って、1Password と Google と iCloud にそれぞれ保存して構わない。この使い方は、このブログでも推奨されてる。
サービスによりますが、パスキーは本来、アカウントごとに複数作ることができるようにデザインされています。Google パスワードマネージャーと iCloud キーチェーンなど、複数のパスキープロバイダを跨いで複数のパスキーを作ることで、パスキーが見つからない場合のトラブルをだいぶ減らすことができます。誤ってパスキーを消してしまっても、他のパスキーを使って復旧することができます。
パスキーとうまく付き合うコツ
このブログの著者の Eiji Kitamura 氏は、GtiHub を見るに Google 所属のよう。文章から推測するに、Google から FIDO Alliance (パスキーの標準化団体) に貢献している技術者かな。詳しい人が書いた記事は参考になるからありがたい🙏
実はこの記事で紹介する 2 つのコツも、この方が提案するうまいパスキーの使い方を参考にしているのでした (下記引用の 2、3 点目)。1 点目については、僕はまだ体験してないので利便性を理解してません…
どうすれば一般ユーザーがパスキーと上手に付き合えるのか、方法をいくつか提案します。
パスキーとうまく付き合うコツ
- QR コードを表示して別デバイスのパスキーでログインを試みる(クロスデバイス認証)
- 自分がどのパスキープロバイダにパスキーを保存しているかを意識する
- 複数のパスキープロバイダにパスキーを作る
パスキーは 「パスワードレス」?
技術的に、パスキーは「パスワードレス」と呼ばれてる。使いたいサービスへのログインは、パスキーを保存したパスキープロバイダが自動で実行してくれる。ログイン処理に限れば、パスワードは使われていない。しかし「パスキーを使う上でどこにもパスワードが登場しない」わけでもない。
実際には、自分が使うパスキープロバイダを解錠するために、パスワード (や指紋や PIN 認証) が必要になる。パスキーを使ったログインの手続きには「(1) パスキープロバイダを解錠する」、「(2) パスキープロバイダがパスキーを使って、サービスにログインする」の 2 つのステップがある。(2) は確かにパスワードレスだけど、(1) には結局パスワード (などの認証) は依然として存在するね。
パスキーを説明した記事『パスキーとは何か、そしてその課題』が、端的でとても分かりやすかった。特に、下に引用したこの部分が肝。上で (2) と書いたパスキーで認証する仕組みは、要は公開鍵暗号を使った署名なんだね。
パスキー作成時は、ローカル認証をトリガーに新しい公開鍵ペアが作られ、秘密鍵はデバイスに、公開鍵はサーバーに送られ保存されます。パスキーとは、実質的にこの秘密鍵とそのメタデータを指しています。その後パスキーは同期され、他の端末からでも利用できるという仕組みです。
パスキーとは何か、そしてその課題
パスキーの明るい未来!
元 FIDO Alliance の中の人 Yuriy Ackermann のブログが印象的だった。曰く、かつて TLS は難しくて複雑で普及していないセキュリティ実装だったけど、今ではウェブのほとんどが HTTPS となった。パスキーもいずれ、そのようになると思う、と。僕はこのビジョンを支持したい。
Think of passkeys like we now think of TLS. TLS used to be costly and complex, but today it’s standard and easy to implement. A decade ago, less than 40% of web traffic was protected by TLS. Passkeys are at a similar point now. The path forward might have some challenges, but in time, they will become as widespread and default for authentication, same as TLS is for secure websites.
(Google 翻訳) パスキーは、現在の TLS と同じように考えてください。TLS はかつてはコストがかかり複雑でしたが、現在では標準的で実装も簡単です。10 年前は、Web トラフィックの 40% 未満が TLS で保護されていました。パスキーは現在、同様の状況にあります。今後の道のりには課題もあるかもしれませんが、やがて、安全な Web サイトのための TLS と同様に、パスキーは広く普及し、認証のデフォルトになるでしょう。
Are Passkeys MFA?. Or does it even matter? | by Ackermann Yuriy | Medium
FIDO Alliance のこの文章も良かった。本気で普及させる意志を感じる。もしパスキーが商標 (Passkey™ とか Passkey® とか書く必要がある) だったり、一見して意味不明な頭文字 (SSL/TLS とか PKI とか) だったら、一般への普及は遠のきそうだもんね。
passkey という単語は一般名詞です。パスワードの参照方法と考えてください。文頭やタイトルで使用する場合を除き、小文字で記述する必要があります。パスキー (および複数形のパスキー) という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームに関連付けられた機能ではありません。
パスキー – FIDO Alliance
(余談) 僕のパスワード整理の長い道のり
実はずっと、ログイン情報が分散していて困ってた。Google アカウントを複数持ってるし、スマホは Chrome で PC では Firefox を使う。パスワードは複数の Google アカウントと Firefox に分散して、どこに正しい情報があるのか分からなかった。
そこで、去年の 6 月に思い切って 1Password に一本化してみた。Firefox と複数の Google アカウントに保存された認証情報を全て書き出して、1Password にまとめてインポートした。重複がたくさんあるし、新旧は混ざってるし、今は使ってない ID もあるけど、とにかく一旦全部を一本化したのです。
一本化したのはいいものの、その後全く整理してなかった。1Password の中は玉石混交で、カオス度は一本化する前よりむしろ悪かったかもね…😅。半年ほどその状態を放置してたけど、2025 年の年明けを契機に一念発起してパスワードを整理してみたのでした。
1Password にはパスワードの安全性を検査する機能がある。使い回しや短すぎて脆弱なパスワードがあると、それを警告してくれる。呆れたことに、僕はパスワードを 130 個以上も使い回していたようだった… これは酷い。長くて強いパスワードを地道に 1 つ 1 つ再設定するのは骨が折れた🦴。
さらに 1Password はパスキー対応サービス (FIDO 用語で Relying Party?) のリストを持ってて、「ここはパスキー作れるよ」と教えてくれる。これも活用して、対応サービスのほぼ全てでパスキーを設定した。ちなみに 1Password が持ってるパスキー対応サービスの一覧は Passkeys.directory で見れるよ。
丸 1 日以上かけて作業して、全ての使い回しを解消し、弱いパスワードを改め、設定できるパスキーと TOTP を全て設定した!上の画像は現状の 1Password の Watchtower 画面。スコア 1133 点がどの程度すごいのかよく分からない。でも 130 以上の使い回しパスワードを 0 件にしたのは偉業だ!(自分を褒める)
まだ残ってるのも少しだけあるけど、これらはこれから対応予定。