これはスタエフの文字起こしをブログ化したものです。
パスワードという考え方が古くなってきた
Googleが20億人のユーザーに向けて、今すぐGmailをパスワードからパスキーに変更するように警告しています。このパスワードでやっぱり危ないよねっていうのは、最近出てきている考え方ですね。これは別にGoogleでパスワードが漏れたとかそういう話じゃなくて、もうパスワードという考え方自体が古くなってきているという感覚があります。
普通のパスワードだけのロックって結構危険なんです。特にGoogleはそこに色んなものが紐付いてますので、何かがあったら大変なことになってしまいます。だからパスワードを変えるだけじゃなくて、ちゃんと最新のセキュリティのものに変えておきましょうよということを、Googleが言っているんです。
簡単だけど安全なパスキーの仕組み
パスキーがフィッシング耐性を備えていて、顔認証や指紋認証でログインできるようになります。Googleは「我々はパスワードの先に進みたい」と言いつつ、ログインを可能な限り簡便に保つとしています。何重にもチェックをしないと入れないんじゃ不便だからね。だから簡単に入れるようにしたいけど、パスワードじゃないものにしてくれよということですね。
今スマホに何かログインしたら「本人ですか」みたいな通知が出るようになってますよね。iPhoneの人はYouTubeとかGmailのアプリを開くとその確認が出るし、Androidの人は直接Androidにそれが表示されるみたいな感じになってます。
2つの鍵がないと開かない仕組み
そもそもパスキーとは何かというと、2つの鍵、公開鍵と秘密鍵で構成されております。そんなこと言われてもよくわかんないよねって感じですが、1つはサービスの提供者のサーバーで作成・保存される公開鍵で、もう1つはユーザーのデバイスに保存される秘密鍵です。これがね、最近のこのセキュリティなんですね。
パスワードってさ、パスワードだけしかないじゃん。だからパスワードだけあれば侵入しちゃうじゃんって話なんですけど、これはね、両方ないとダメなんです。秘密鍵は決してデバイスから離れることもなく、パスワードスプレー攻撃やブルートフォース攻撃の標的にもならない。だからパスワードだったら片っ端から順番にはめていけば、いつかは入れちゃうわけですけど、そもそもそういう問題じゃないよってことなんですよね。
脱パスワードの課題
脱パスワードの動きが今後加速すると思うんですが、問題もあります。たまに1つのパスワードをみんなで使い回すことあるんじゃないですか。例えば組織で持っているGmailのアカウントとか、パスワードをみんなで使い回しするっていうのは割とよくあることだと思うんですけど、このパスキーにしちゃうと管理者の人のスマホで毎回毎回承認ボタンを押さないとアクセスできなくなるから、大勢で一つのGmailを使うみたいなことがすげえやりにくくなるんですよ。
でも今こういうセキュリティが破られると色々なものが漏れてしまいます。特にGoogleにはすべてのパスワードや個人情報が詰まっているので、結構危険です。長年使ってるとついつい油断してしまうことってやっぱりあるかなと思うので、改めてこういうのって気をつけていきたいなと思います。