パスキーは生体認証?
フィッシングなどによりパスワードが盗まれる事件が相次ぐ中、パスキーが広まりつつあります。すでにGoogle、Apple、Microsoft、X(Twitter)、Facebook、Instagramなどなど、主要なサービスはパスキーに対応しています(まだパスワードも使えます)。
パスキーによる認証は知識認証・生体認証・所有物認証のうちどれか?という問題がそのうち試験に出そうですね。
例えばこの新聞記事には「指紋や顔などの生体認証を使う「パスキー」という技術もある」と説明されています。これは本当でしょうか?
スマホで「パスキー」を使うと、スマホの指紋認証や顔認証だけでサービスにログインできます。このことから、パスキーは指紋や顔の情報を送って認証しているのだ、と誤解されるのだろうと思います。でも、顔認証がうまくいかなかったときはPIN(暗証番号、iPhoneでいうパスコード)でもパスキーが使えますし、私のMacのような生体認証に対応していないパソコンでもパスキーが使えます。
パスキーの実体は、パスワードマネージャ(iPhoneなら「パスワード」アプリなど)に入っている非常に複雑な鍵情報(公開鍵暗号の秘密鍵)です。それを取り出す際に指紋認証か顔認証(iPhoneでいう「Face ID」)またはPINを要求されることが多いのですが、指紋・顔などの情報がサイトに送られるわけではありません。
パスキーでなく普通のパスワードでも、パスワードマネージャに覚えさせておけば、パスワードを自動入力する前にたいてい指紋認証か顔認証かPINを要求されますね。でもそれはスマホを操作している人がスマホの持ち主かどうかを確認するためで、指紋・顔などがサイトに送られるわけではありません。パスキーも同じことです。
パスキーは、スマホあるいはパソコンに格納されて、それらを所有する人しか使えないという意味で、所有物認証といえるでしょう。一方で、パスキーを使うために指紋認証か顔認証が必要なら、生体認証も使っていることになります。ただ、後者はローカルの(スマホやパソコンの中だけの)認証で、外部に送られるわけではありません。認証の本質的な部分ではなく、ローカルの実装次第では省略することも可能です。
また、パスキーはスマホやパソコンだけに保存されるわけではなく、クラウド(iPhoneならiCloud)で保存することもでき、スマホを機種変しても使い続けられます。
ちなみに、パスワードも、人間が覚えて入力するなら知識認証ですが、パスワードマネージャで生成した複雑なパスワードを、人間が覚えるのでなくパスワードマネージャに保存して自動入力するなら、所有物認証と言ってもいいかもしれませんね。
このようなことまで考えると、「○○は何認証か?」といった問題は、出題したくなくなりそうです。