2023年5月23日に Google より発表された,個人向け Google アカウントでのパスキー認証についていろいろ調べてやってみた備忘録と雑感です.なお,Microsoft アカウントについての記事も
に書いていますので,興味のある方は合わせてご参照頂ければと思います.
パスキーってなに?
詳しくは英語ですけど yubico の記事
を参照して頂ければと思いますが,公開鍵暗号を用いたパスワードレス認証方式で,以下の流れで認証が行われるもののようです.ただし,ここで「デバイス」とは,顔認証や指紋認証などが搭載されているPC等を指します.
- 適当なデバイスで秘密鍵と公開鍵の2つを作成する(デバイスに秘密鍵と公開鍵を対応づける).
- 上で作成した公開鍵を認証を実施したい場所(以下認証ページと記す)に(アカウントと紐づけた形で)登録する.
- デバイスで認証ページにアクセスすると,認証ページは適当なメッセージをデバイスに送る.
- デバイスはメッセージを秘密鍵で暗号化し認証ページに送る.
- 認証ページは公開鍵でデバイスから送られた暗号化されたメッセージを復号化し,認証の可否を判断する.
つまり,パスキーの認証の場合は,認証ページに登録したデバイスと認証ページ間のやり取りで認証が行われますので,
デバイスそのものが鍵
の役割を果たす訳ですね.認証ページに登録される「公開鍵」も「鍵」ですが,役割としてはこれは認証ページに取り付けられた鍵の穴だと考えた方が良いと思います.
と言うことは,パスキー認証を行うためには,
- まず,デバイスで秘密鍵と公開鍵をどうにかして作らないといけない
- 公開鍵を認証ページに何とかして登録しないといけない
の2つで,あとは認証ページに行きさえすれば,向こうからアレやれコレやれと指示されるので,何とかなるだろうなぁ……と想像できる訳ですね.
Google アカウントでのパスキーと2段階認証との関係
Google アカウントのパスキーを用いた認証についての Google による公式の案内は,
です.しかし,このページの説明,冒頭から非常に分かりにくいです.
冒頭部分「重要」なお知らせとして,
2段階認証プロセスがすでに有効になっている場合は2つ目の手順が省略される
とありますが,これは,2段階認証の段階の1つとして取り扱われる認証手段ではないことを注意している文章のようです.実際に2段階認証を有効化していた私のアカウントで試してみると,
- パスキー認証のみ
- これまで通りのパスワードとそれ以外の2段階の認証
の両方で認証を行えます.つまり,これまで使用していた2段階認証とは別の認証手段としてパスキー認証が使えるようになります.もう少し言うと,(少なくとも2段階認証を有効にしている場合は)認証手段が追加されるだけなので,心配せずにパスキー認証を有効化して大丈夫です.
Google アカウントで用いるパスキーの作成要件
「パスキーってなに?」のところで書いた通り,パスキー認証を実現するには,
- デバイスで秘密鍵と公開鍵を作成して,
- 公開鍵を Google アカウントに登録
しなければなりませんが,そのために要求されるデバイスの要件は以下の通りです.
ハードウェア
- Windows 10 もしくは macOS Ventura, ChromeOS 109 以降搭載PC
- iOS16, Android 9 以降のスマホ
- FIDO2 対応セキュリティキー
ブラウザ
- Chrome 109 以降
- Safari 16 以降
- Edge 109 以降
有効化しておくべき機能
- 画面ロック
- Bluetooth
Google アカウントで用いるパスキーの作成と登録
これはデバイスの種類ごとに違うようです.
Android デバイスの場合
要件を満たすデバイスを Google アカウントに紐づけた時点で自動的に作成・登録が実施されるようです.実際,私の場合も,BOOX Air と Xperia 10 IV の2台に対応するものがはじめから登録されていました.
Photo by hyt.
Apple デバイスの場合
Chrome ブラウザで,
にアクセスして認証後に出てくる画面で「+ パスキーを作成する」とすれば,作成と登録が行えます.また,これにより作成した鍵は,iCloud キーチェインに登録されます.つまり,iOS もしくは iPad の場合,どれか1台でパスキーを作成すれば,iCloud でキーが他の Apple デバイスに共有されます.
Photo by hyt.
ただし,macOS の場合はいまのところ以下に注意しなければなりません.
iCloud キーチェインに登録される鍵は,macOS の場合 Chrome と Safari で異なるものが登録されるようです(iOS の場合は同じ).つまり,macOS 上 Safari で認証する場合は iOS で登録した鍵が使えますが,macOS 上 Chrome で認証する場合はそれ用の鍵を登録しておかなければなりません(上の写真だと「iCloud (Safari)」が前者,「iCloud (Chrome)」が後者です.名前はわかりやすいよう変えています).
Windows デバイスの場合
Windows Hello を有効化した Windows デバイスの Chrome ブラウザで,
にアクセスして認証後に出てくる画面で「+ パスキーを作成する」とすれば,作成と登録が行えます.Edge でも同じ鍵が使えるようです.
指紋認証を有効化した elementary OS
試してみましたが,サポート外と表示され作成と登録は行えませんでした.
Google アカウントのパスキーを用いた認証
パスキーを作成・登録したデバイスを用いた場合
パスキーを作成・登録したデバイスを使っている場合が最も簡単です.Google アカウントの認証を求める画面で自分のアカウント名を入力すると,パスキーを使うかどうか確認されます.
Photo by hyt.
この画面で「続行」を選択するだけです.あとは指示にしたがって指紋を読み取るなり,PIN を入力するなりすれば認証が完了します.実際に何をしなければならないかはデバイスに搭載されている OS と機器によります.なお,上の画面で「別の方法を試す」を選ぶと,2段階認証などの認証方法を行えます.
別のデバイスとして Android デバイスを用いた場合
パスキーを作成・登録したデバイス以外を用いている場合は,パスキーを作成・登録したデバイスを用いてパスキー認証を実施します.
特に Android デバイスを用いてパスキー認証を実施する場合は,画面(これは macOS の場合ですが,他のデバイスの場合も同様の画面です)
Photo by hyt.
で「別のデバイスを使用」を選び,実際に用いる Android デバイスを指定するだけです.すると,選んだ Android デバイスに通知が送られますので,あとは指示にしたがって Android デバイス側で操作をすれば良いだけです.
ただし,この場合,認証ページを閲覧しようとしてるデバイスと Android デバイスも共に Bluetooth が有効化されていなければならないようです.恐らく認証ページ閲覧デバイスと Android デバイスが物理的に近くにあるのかどうかを Bluetooth でチェックしているのではないかと思います.
別のデバイスとして Apple デバイスを用いた場合
最後に別のデバイスとして Apple デバイスを用いた場合です.
この場合は Android デバイスと違い,通知が直接 Apple デバイスには送られません.その代わり,認証ページを閲覧しようとしてるデバイスに QR コードが表示されます.このQRコードを,
Chrome もしくは Safari から読み取るか,
カメラアプリで読み取る
ことで,パスキー認証を行うことができます.
ただし,Chrome もしくは Safari から読み取らないとうまくいかなかったときとカメラアプリから QR コードを読み取らないとうまくいかなかったことの両方がありました.もう少し具体的には,
- macOS の Chrome で Gmail:Chrome もしくは Safari から読み取り
- elementary OS の Chrome で Gmail:カメラアプリから読み取り
のような感じで,これについては原因がよくわかりません.
雑感
最後に少し雑感を記したいと思います.
理屈の上では Google アカウントでパスキーを使うべきなのは理解していますが,実際に多くの人がパスキーを設定するかと言われると,現在のままだとかなり厳しいのではないかと思います.
確かにパスキー認証,使い始めると便利です.パスキー用のスマホを1台持っておけばそれを使って任意のデバイスで Google アカウントを閲覧できますし,認証も1回なので,2段階認証のような煩わしさもありません.
しかし,現在多くの人は自分用のデバイスを持っていて,さらに使われているブラウザのほとんどが Chrome です.そして Chrome には Google アカウントを登録でき,Chrome を使う限りにおいて,Google アカウントを使うのにパスワード打つことはありませんので,現状,多くの人は Google のパスワードをそんなに気にしていないのではないかと思います.この状況下で,
パスキー認証だとパスワードレスで1回で認証できて楽ですよ.パスワードレスだと安心・安全ですしね!
と言っても,あまりピンとこない人の方がはるかに多いような気がします.
しかしセキュリティの観点からははやりパスワードレス認証の方向に向かうのが適切なわけで,どこかの段階で Chrome のインストール時に自動的にパスキー認証方向に誘導されるようになるのだと思います.現状はその前段階なのでしょうね.
以上!
