「20億ユーザーに警告」と書かれたパスキー推奨の記事

先日、Forbesの “グーグルが20億ユーザーに警告―今すぐGmailをパスワードからパスキーに変更を” という記事を読みました。

確かに、Googleに限らず各オンラインサービスではパスキー等の安全な認証方法を使いたいですね。

「20億ユーザーに警告」と書かれたパスキー推奨記事

Forbesの記事です。

人目を引く強めのタイトルですね。

Gmailの話をしていますが、GmailだけでなくGoogleのサービスで利用するGoogleアカウントの認証方法に関するものです。

Googleアカウントで “パスキーを使いましょう” という趣旨です。

“パスワードを別のものに変えましょう” ではありません。もちろんパスワード自体が簡単なら変えた方が良いですが。

これは増加するフィッシングや不正アクセスの対策として重要です。

Googleの元記事

上記のForbesの記事から参照されているGoogleの元記事はこちら。

We want to move beyond passwords altogether, while keeping sign-ins as easy as possible, so we strongly encourage using modern methods like Sign in with Google and passkeys, which can be stored in and synced across your devices with Google Password Manager. 

出典：New Google survey shows changing security habits

パスキー（passkeys）が強く推奨されています。

Google で​ログイン（Sign in with Google）の方はパスキーではありませんが、他の認証方法より推奨されています。

パスキーの作成はこちらから

Googleアカウントでのパスキーの作成は以下から可能です。

パスキーの作成により、スマホでの生体認証等による簡単な操作でGoogleアカウントにログインできるようになります。

パスキーに対応した最近のスマホやPCでパスキーを作成できます。

パスキー：普通名詞

ちなみにパスキー仕様（の技術要素であるFIDO2）の本家、FIDO Allianceの説明によると、passkeyは普通名詞です。

passwordと同じように使えばOKです。

固有名詞のように最初のpを大文字にする必要性もありません。

各プラットフォームにより同期の実装が多様だったりもしますが、商標でもありません。

パスキーでパスワードレスへ

パスワードを使わずに済む世界に早くたどり着けるよう、より多くのユーザがパスキーのような安全な認証方法を使い始めることが重要です。

古い認証方法に依存したユーザが多ければ、パスキーを使えない場合の代替の認証方法（フォールバック）や、アカウントにアクセスできなくなった場合の復旧方法（アカウントリカバリー）において、安全性の低い手段をなかなか廃止しづらいままになります。

Googleのサービスに限らず、パスキーに対応しているところでは利用していくと良いでしょう。

【さらに強化】Googleの高度な​保護機能プログラムを参考に

色々と事情があってGoogleアカウントのセキュリティをしっかりしておきたい場合は、高度な保護機能プログラムが参考になるかもしれません。

高度な保護機能は、標的型オンライン攻撃を受ける危険性が高い方におすすめの機能です。たとえば、ジャーナリスト、活動家、政治運動スタッフ、ビジネス リーダー、IT 管理者など、Google アカウントに貴重なファイルや機密情報が含まれるユーザーが該当します。

出典：Google

この機能を利用すると、ログインの際にパスキーかセキュリティキーが必須になります。これは2段階認証プロセス（電話番号等）よりも厳しい要件です。

Google のアプリで、または、パソコンやモバイルウェブで Chrome ブラウザを使用して、Google アカウントにログインできます。メールや Google ドライブのデータにアクセスする必要がある一部のアプリやサービスでは、Google アカウントを使用できません（参考）。

なお、パスキー1つだけではこの機能を利用できません。

特別な​ハードウェアや​ソフトウェアは​必要ですか？

Google アカウントへの​登録や​ログインには、​1 つ以上の​パスキーまたは​ FIDO 準拠の​セキュリティ キー​（Google の​ Titan セキュリティ キーなど）が​必要に​なります。​プライマリおよび​セカンダリの​セキュリティ要素と​して​以下の​いずれかの​設定を​使用して​登録できます。

• 2 つの​パスキーまたは​セキュリティ キー
• 1 つの​パスキーと​ 1 つの​セキュリティ キー
• 1 つの​パスキーまたは​セキュリティ キーと​再設定オプション​（再設定用の​電話番号や​メールアドレスなど）

出典：Google

複数のパスキーやセキュリティキーという点については後述します。

ちなみに、GoogleでなくMicrosoftアカウントの方では、”パスワード削除” の設定が可能です。

複数のパスキーやセキュリティキーを運用

前述のようにパスキーやセキュリティキーを複数用意したい場合に何が必要かという話をします。

セキュリティキーもパスキー（device-bound passkey）になり得るという話はややこしくなるので、ここではパスキーとセキュリティキーという区別のまま進めています。

セキュリティキーを買い足して

まずセキュリティキーを購入するパターンから。

セキュリティキーを2つ用意する場合、メインキーとバックアップキーの運用が推奨されています（参考）。

1つ目のデバイスがスマホで、2つ目のデバイスがセキュリティキーという組み合わせもOKです。2つ目のバックアップキーは金庫に保管しておく等。

Googleが販売するTitan セキュリティ キーもありますが、色々なものがあります。

有名なYubicoでは、以下が比較的安価なもの。

指紋認証にも対応。高いですが。

スマホ複数台で

セキュリティキーでなくスマホで完結させるパターンも挙げてみます。

複数のスマホを用意して異なるパスキーの保存先、つまりApple ID（iPhone、iCloudキーチェーン）やGoogleアカウント（Android 9.0 以降のAndroidのスマホ、Googleパスワードマネージャー）でそれぞれパスキーを作成、保存しておくといった運用もあるでしょう。

iPhone 2つ、Androidスマホ2つでもOKですが、AppleとGoogle（異なるpasskey provider）でパスキー（synced passkey）を管理しておくのも良いかなぁと個人的に思いました。どちらかのプラットフォーム側で不具合や事故等があった場合に、他方が無事かもしれないので。

以下はポイ活用の記事ですが、スマホを購入する方法について。

まとめ

パスキーについての記事の話でした。

最近の証券口座の不正取引の件も、最も弱い認証方法の底上げが重要ですね。