「パスキーを作成」と出た瞬間、顔認証で全部安全になると思うと少し危ないです。

顔や指紋はログイン情報そのものではありません。サービスへ渡す秘密でもありません。

パスキーの中心にあるのは、端末の中だけで使う秘密鍵です。ここを分けると、何が守られて何が残るのかが一気に見えます。

🗺️ パスキーで分けるべき三層

パスキーは三層で見ると輪郭がはっきりします。

  • 公開鍵と秘密鍵: サービス側と端末側で持つ鍵が違う
  • 端末ロック: 顔認証、指紋、PIN は秘密鍵を使う前の扉
  • 同期と復旧: iCloud Keychain や Google Password Manager などの保存先で条件が変わる

この三層を分けると、パスワードレスという言葉が指す範囲がはっきりします。パスワード入力を減らす話と、アカウント復旧が不要になる話は別です。共有端末、組織設定、復旧手段の管理は最後まで残る確認条件です。

🔐 サービスに渡るのは秘密鍵ではない

パスキーは、公開鍵暗号をログインに使います。

登録時に端末側で鍵のペアを作り、サービス側には公開鍵だけを保存します。秘密鍵は端末や資格情報マネージャー側に残り、サービスへ送信されません。

ログイン時はサービスが出した課題に対し、端末側の秘密鍵で署名します。サービスは保存済みの公開鍵で署名を確認し、正しい組み合わせだと判断します。

パスキーでログインする流れ

この仕組み、最初に読んだ時は「顔認証で入るだけの機能」だと思っていた自分がちょっと恥ずかしくなりました。実際には、顔認証は鍵を使う許可を端末内で出す係なんです。

📱 顔認証や指紋はサービスへ送られない

Face ID、Touch ID、Windows Hello、Android の画面ロックは、本人確認の入口です。

Apple は、パスキーの秘密鍵がサーバーに保存されず、生体情報も端末外へ出ないと説明しています。FIDO Alliance も、FIDO2 が公開鍵暗号を使い、サービスごとに鍵を結びつける仕組みだと示しています。

効いてくるのは、端末ロックの強さです。共有端末でパスキーを作ると、その端末を使える人がログイン入口に近づきます。

個人所有のスマホなら自然に見える操作でも、家族共用タブレットや会社の共有 PC では意味が変わります。パスキー作成画面が出た時は、持ち主とロック管理が揃った端末で作る判断になります。

🌐 フィッシングに強い理由はドメインとの結びつき

パスキーがフィッシングに強い理由は、作成元のアプリやサイトに鍵が結びつく点です。

偽サイトが本物そっくりの画面を出しても、そのドメイン用の秘密鍵は使えません。人間が URL を見落としても、鍵の対応関係が合わないわけです。

パスワードだと、文字列を入力した時点で相手へ渡ります。パスキーでは秘密鍵を外へ出さず、署名の結果だけを渡します。

この設計、ガチで美しいんですよね。人間の注意力に頼る場所を、暗号の対応関係へ移しているからです。

🔄 同期型か物理キーかで復旧が変わる

パスキーは作成先で復旧の流れが変わります。

Apple は iCloud Keychain でパスキーを同期し、復旧時に Apple Account、信頼できる電話番号、端末パスコードなどを使うと説明しています。Google は対応 OS、ブラウザ、Bluetooth、iCloud Keychain などの条件をヘルプで分けています。

Microsoft は保存先として、同期型の資格情報マネージャー、スマホやタブレット、セキュリティキー、Windows Hello を挙げています。名前は同じパスキーでも、手元で何を失うと困るかは保存先で変わります。

保存先で変わる確認条件

同期型は端末を替えた時に移行の手間を減らせる反面、クラウドアカウントを失うとパスキーの復旧も止まります。物理セキュリティキーは持ち運ぶ鍵なので、紛失時に備えた予備キー登録が現実的です。

⚠️ パスワードレスでも残る確認条件

パスキーを作っても、全部の確認が消えるわけではありません。

Google は、共有端末にパスキーを作らないよう案内しています。組織アカウントでは管理者設定次第で、パスキー単独ログインが使えない場合もあります。

別端末からログインする時は、近くのスマホ、Bluetooth、QR コード、同じパスワードマネージャーなどが絡みます。いつどのサービスへログインしたかの記録も、端末やサービス側に残る場合があります。

作成前に確認したいのは、個人所有端末か、画面ロックが強いか、復旧用メールや電話番号を今も使えるかです。ここを知らないままパスワードを消すと、買い替えや故障のタイミングで詰まります。

この条件が揃っていれば、パスキーはかなり頼れるログイン方式になります。丸暗記したパスワードを偽サイトへ打ち込む場面を減らし、端末側の鍵で本人確認を完結させられるからです。

📚 出典


👉 パスワード漏洩が実際に起きた事例として、KDDIのISPメール基盤への不正アクセスについてはこちらのニュースを確認してください。