ついにパスワードをすべて忘れられる時代が来る。
なんと「1password」のアンロックに「Passkey」が使える様になるそうです。
私もかれこれ6年程使ってるのですが「1password」非常に便利です。
所謂パスワードマネージャーで、ブラウザなどにサイトへのログインIDやパスワードを記憶させている方もいると思うのですが、その拡張版だと思ってもらえれば良いと思います。
自分か管理しているID/PWや、多要素認証に使われているTOTP(Google Authenticator とか MS Authenticatorを利用して表示する、時間によって更新される6桁の数字)を記憶させることができる、しかもマルチプラットフォームで利用可能。サイトごとに違うパスワードを使っている人には必須のアプリなんじゃないかと思います。(Appleのエコシステムで固めている人を除く)
「1password」の名前の由来は、
「1password」にログインするための一つのパスワードだけ覚えておけばいい後のパスワードは全部「1password」が覚えておきます!
という製品の特長から来ているのだと思うのですが、「Passkey」に対応することによってこの一つのパスワードが遂に不要になるわけです。
じゃあ、どうやって認証するのかってのは上に貼った動画を参照してもらえれば分かり易いのですが、ざっくり言うとアンロックするためにスマホの生体認証が利用できるようになるようです。パスワードをすべて忘れてもいい時代が来るわけですね。素晴らしい。
私のようにパスワードを覚えるのが面倒な人じゃなくても、この「Passkey」の搭載はメリットがあります。以下のように色々な脆弱性がある固定式パスワードを無くすことができるからです。
漏れたら誰でも利用可能
多要素認証の導入で固定式パスワードのみではログインできないようにする
単純、推測されやすいものを利用することによってバレる可能性がある
パスワードが複雑性を満たすものにする
総当たり攻撃が可能
数回パスワードを間違えた場合アカウントをロックする
パスワードの使いまわし
その端末のみ有効なPINの設定など(Windows Helloで実装されている)
もちろん、それぞれのサービスで上記の2段目のように対策はしているのですが、結局のところユーザーの運用負荷が高くなるので嫌がられたりしています。
「Passkey」の良いところは特定のスマホを持っているということと、そのスマホをアンロックできるということと、さらに生体認証をクリアすることが出来るという2~3段階(スマホのアンロックと生体認証は同一である可能性が高いため)の多要素認証がかかっているにもかかわらず、ユーザー側の負担は増えないという点にあります。
更に、「1password」では「Passkey」対応のサービスへのログインも提供されるようなので、ますます、離れられなくなるなぁといった感じです。