パスキーを使用しているとはいえ、パスワードが使用されなくなることはありません。
Microsoftは現在、パスワードを必要としない認証方式に取り組んでおり、その一環として、FIDO(ファイド)パスキーの普及を推進しています。
私はFIDOパスキー、そしてFIDO認証技術全般の使用には賛成です。パスキーを含むFIDO認証はフィッシング耐性があり、パスワードや多要素認証(MFA)など、いままでの認証方法と比べると大きな進歩です。
しかし、パスキーの最大の課題は、ほとんどのウェブサイト(およそ99%)がまだパスキーに対応していない点です。ただ、大手のサービスはパスキーに対応していることが多く、Microsoftの新たな取り組みにより、今後さらに導入が増えることが予想されます。これは歓迎すべき動きで、パスワード関連のリスクを排除できることは非常に効果的な防御です。
FIDOパスキーを非常に高く評価している私ですが、現実的な視点も持ち合わせています。パスキーはすべての場面で万能というわけではありません。その理由は、以下のブログ(英語)でも解説しています:
パスワードかパスキーの選択肢があるなら、パスキーを選びましょう。特に、1Passwordのようなパスワードマネージャーと連携してパスキーを管理できるのであれば、さらにおすすめです。こうしたツールを使えば、同じパスキーを複数のデバイスやプラットフォームで簡単に共有することもできます。現時点では、FIDOパスキーだけでは、共有などを実現するのは容易ではありません。
ここで、非常に重要な注意点をお伝えします。
既存のアカウントにパスキーを追加しても、ほとんどの場合、パスワードによるログインは引き続き有効です。つまり、パスキーが追加されるだけで、パスワードによる認証は無効化されないのです。私がパスキーの追加を試みた十数件のサイトすべてでパスワードの無効化はされていませんでした。
そのため、パスキーを設定しても、引き続きパスワードでアカウントにログインできます。つまり、攻撃者は依然としてパスワードをソーシャルエンジニアリングなどでパスワードを窃取することで、不正にアカウントへのログインが可能になります。
安全性の高い手段を選んでも、攻撃者は弱点であるパスワードを突ける状態にあるというのは、少し皮肉に感じられるかもしれません
対策方法
まず、すべてのサイトで使うパスワードを安全なものにしてください。12文字以上かつ完全にランダムな文字列が理想です。可能であればパスワードマネージャーを使い、各サイトで異なる強力なパスワードを使用しましょう。自分でパスワードを作成するのであれば、20文字以上が目安です。ただ、20文字以上のパスワードを作成して、記憶するのは労力がかかるため、パスワードマネージャーを使うのが効率的です。
また、パスキーを設定後にも、パスワードは依然として有効であることを忘れないでください。
次に、もし利用中のサイトやサービスで、パスワード認証を無効化できる場合は、無効化にしましょう。
たとえば、Microsoftでは “Microsoft Authenticator” を使えば、パスワード認証を無効にすることが可能です。ただし皮肉なことに、Microsoft Authenticator自体はフィッシング耐性が高くないため、私は好んで使用することはありません。
さらに注意すべきは、たとえパスワード認証を無効化できたとしても、サービス側が認証プロセスの一部として裏でパスワードやそのハッシュを引き続き使っている場合があるということです。たとえば、Microsoftのスマートカード認証などでは、ユーザーがパスワードを使っていなくても、Microsoftが裏でパスワードのハッシュを保持および利用していることがあります。こうしたケースは、私たちが思っている以上に多い可能性があります。
結論、パスキーをお勧めすることに変わりはありませんが、パスワードのリスクがまだ残っていることを忘れてはいけません。
私はパスキーを有効にした後も、パスワードによるログインが有効な場合には、念のために、すぐに強力な新しいパスワード(12文字以上のランダムな文字列)に更新するようにしています。
原典:Roger Grimes著 2025年5月9日発信 https://blog.knowbe4.com/you-are-still-vulnerable-to-password-attacks-when-using-passkeys