近年、パスワード認証に代わる認証方法としてパスキー認証が注目されています。パスキー認証は、利便性とセキュリティ強化を両立しやすい認証方法であり、Coincheckでもより安全にサービスをご利用いただくために導入されています。
この記事では、パスキー認証とは何か、仕組み、パスワードや生体認証との違い、メリット、利用時の注意点を中心に解説します。Coincheckでの具体的な設定手順を知りたい方は、Coincheckのパスキー設定方法を解説|使える場面・推奨環境・FAQまとめもあわせてご覧ください。
この記事でわかること
目次
パスキー認証とは
パスキー認証とは、パスワードを使わず、指紋認証や顔認証などの生体要素やPINコードで本人確認を行う認証方法です。認証は端末上で完結するため、認証情報が第三者に流れたり、サービス側にそのまま保存されたりしにくい点が特徴です。
また、パスキーは iCloudキーチェーンや Google パスワードマネージャーなどで管理でき、同じアカウントで利用している複数デバイス間で使える場合があります。利便性とセキュリティの両方を高めやすいことから、多くのサービスで導入が進んでいます。
パスキーの仕組み
パスキー認証には、公開鍵暗号方式が使われています。利用開始時に、サービス側には「公開鍵」が登録され、ユーザーの端末側には「秘密鍵」が保存されます。
ログイン時は、サービスから送られた認証要求に対して、端末内の秘密鍵で署名を行い、その結果を公開鍵で検証します。秘密鍵そのものがサービス側へ送信されないため、サーバ侵害や情報漏えいが起きた場合でも、パスワード認証に比べて被害が広がりにくい仕組みです。
生体認証とパスワードとの違い
生体認証は、指紋や顔、虹彩などの特徴を利用して本人確認を行う仕組みです。パスキー認証でも生体認証が使われることがありますが、これは端末内の秘密鍵を利用するための本人確認として機能しています。
一般的なパスワード認証では、ユーザーが覚えた文字列をサービスへ送信して認証します。そのため、使い回し、推測、フィッシング、漏えいといったリスクがつきまといます。パスキー認証は、こうした「秘密を文字列として入力する」前提から離れた認証方式である点が大きな違いです。
総務省によると、令和5年に検挙された不正アクセスの手口として多かったのは、パスワードの設定・管理の甘さにつけ込んで入手する方法でした。パスキー認証は、こうしたパスワード起点の攻撃リスクを抑えやすい認証手段です。
引用:「令和5年における不正アクセス行為(識別符号窃用型)の手口別検挙件数」
総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」p.6
FIDO UAF認証との違い
FIDO UAFは、FIDOアライアンスが策定したパスワード不要の認証規格のひとつです。一方で「パスキー」は、クラウドを介して認証情報を複数デバイス間で共有しやすくした仕組みを含む、より広い概念として使われることがあります。
FIDO UAFは対応端末や実装環境に依存しやすい一方、パスキーは OS 標準のパスワード管理機能と連携しながら、複数の端末で使いやすい点が特徴です。
パスキー認証のメリット
パスキー認証の主なメリットは、利便性とセキュリティ強化を両立しやすい点です。パスワード管理の負担を減らしながら、不正ログインのリスクも抑えやすくなります。
パスワードを覚えなくてよい
パスワード認証では、サービスごとに文字列を覚えたり管理したりする必要があります。パスキー認証では、端末側に認証情報を保存して利用するため、複雑な文字列を記憶する負担を減らせます。
ログインの所要時間が減る
パスキー認証は、指紋認証や顔認証、PINコードの入力でログインを進められるため、パスワードを探したり打ち込んだりする手間がかかりません。入力ミスによるやり直しも起きにくく、ログイン体験をスムーズにしやすい特徴があります。
複数デバイス間で利用できる
パスキーをクラウドのパスワード管理機能で保存していれば、同じアカウントで利用しているスマートフォン、PC、タブレットなど複数の端末で利用できる場合があります。機種変更時にも引き継ぎやすい点は大きな利点です。
パスワードに比べて安全性が高い
パスキー認証では、秘密鍵がサーバ上に保存されず、認証時にも秘密鍵そのものを送信しません。また、認証情報はサービスごとのドメインに紐づくため、他サイトでの使い回しもできません。
このため、フィッシング詐欺やクレデンシャルスタッフィングなど、パスワード認証で起こりやすい攻撃に強い耐性を持ちます。
パスキー認証の注意点
パスキー認証は利便性と安全性に優れていますが、使い方によってはリスクもあります。安全に利用するために、最低限押さえておきたい注意点を確認しておきましょう。
個人専用のデバイスでの使用に限定する
パスキーは端末に保存されるため、共有デバイスで設定すると、その端末を使う他者も認証を行える可能性があります。家族共用の端末や職場の共用PCなどではなく、本人専用のデバイスで利用することが重要です。
二段階認証は削除しない
パスキーを導入したあとでも、サービスによっては出金や重要な設定変更時に、別の認証手段が必要になる場合があります。Coincheckでも、日本円の出金や各種設定変更時に必要となる場合があるため、二段階認証コードを削除しないようにしましょう。
Coincheckでのパスキー認証
Coincheckでは、ログインや一部のお手続きでパスキー認証を利用できます。ここでは、Coincheckでの活用場面と、設定方法の案内先を簡単に紹介します。
Coincheckで利用できる場面
Coincheckでは、ログイン時に加えて、暗号資産の送金申請、暗号資産送金先の登録、NFT受取アドレス追加などでパスキー認証が利用されます。ご利用環境や操作内容によっては、パスキー認証が必須となる場面もあります。
どの操作で必要になるかを詳しく確認したい方は、Coincheckのパスキー設定方法を解説|使える場面・推奨環境・FAQまとめをご覧ください。
Coincheckでの設定方法
Coincheckでは、アプリやスマートフォンブラウザ、PCブラウザからパスキーを設定できます。実際の設定手順、推奨環境、FAQは、設定ガイド記事にまとめています。
Coincheckのパスキー設定方法を解説|使える場面・推奨環境・FAQまとめ
FAQの詳細は、FAQ:パスキー設定もご確認ください。
よくある質問
ここでは、パスキー認証の仕組みや使い方に関する基本的な質問に回答します。より詳しい設定関連の情報は、Coincheckのパスキー設定方法を解説|使える場面・推奨環境・FAQまとめもあわせてご覧ください。
パスキー認証でどのようにログインしますか?
一般的には、サービスにログインしようとした際に、端末上で指紋認証や顔認証、PINコードの入力などを行って本人確認を進めます。Coincheckでも、設定済みであればログイン時にパスキー認証画面が表示され、案内に従って認証を行います。
二段階認証とパスキー認証は同時に行いますか?
ログイン時にはパスキー認証が使われる一方で、サービスによっては出金や重要な設定変更時に別の認証手段が求められることがあります。Coincheckでも、二段階認証が必要になる場面があるため、削除せず保持しておくのが安全です。
クロスデバイスとはなんですか?
クロスデバイスとは、あるデバイスで設定したパスキーを、同じアカウントで利用している他のデバイスでも使えるようにする仕組みです。クラウドのパスワード管理機能と連携していれば、機種変更後も同じパスキーを利用しやすくなります。
まとめ
パスキー認証とは、パスワードを使わずに本人確認を行う認証方法であり、公開鍵暗号方式を利用することで、パスワード起点の漏えいや不正利用リスクを抑えやすい点が特徴です。利便性とセキュリティの両方を高めやすいことから、今後も導入が広がっていくと考えられます。
Coincheckでもパスキー認証を導入しており、ログインや一部のお手続きで利用できます。Coincheckでの具体的な設定方法や推奨環境を確認したい方は、Coincheckのパスキー設定方法を解説|使える場面・推奨環境・FAQまとめをご覧ください。