Passkey:パスワードの終わりの始まり
パスワードは生まれた瞬間から本質的な欠陥を抱えていました。それは「あなたが知っているもの」であり、「知っている」という事実は盗まれる可能性があるということです。フィッシングサイトはあなたのパスワードを騙し取り、データ漏洩がパスワードを晒し、マルウェアがキーストロークを記録します。ネットワークセキュリティ業界は数十年間、パスワードの様々な脆弱性を修正しようとしてきましたが、問題の根本は変わりません。
Passkey(パスキー)はパスワードの終わりを告げる技術です。FIDO2標準に基づき、従来のパスワードの代わりに公開鍵暗号を使用します。何かを覚える必要も、何かを入力する必要もありません。デバイスさえあれば、一度の生体認証でログインが完了します。そして何より、Passkeyはその設計上フィッシング攻撃が不可能です。
Binanceはすでにパスキーログインをサポートしています。この記事では、この技術を詳しく解説し、設定手順をご案内します。
Passkeyの仕組み
従来のパスワードの流れ
- パスワードを作成する(例:「MyPassword123」)
- パスワードのハッシュ値がBinanceのサーバーに保存される
- ログイン時、パスワードを入力し、サーバーがハッシュ値を照合する
- リスク:パスワードは通信中に傍受される可能性があり、保存されたハッシュ値はデータ漏洩で暴露される可能性がある
Passkeyの流れ
- デバイスが公開鍵と秘密鍵のペアを生成する
- 公開鍵はBinanceに送られて保存され、秘密鍵はデバイスのセキュリティチップに保存される
- ログイン時、Binanceが「チャレンジ」を送信する
- デバイスが秘密鍵でチャレンジに署名し、Binanceに返送する
- BinanceがPublic Keyで署名を検証する
- 重要:秘密鍵はデバイスを絶対に離れず、ネットワーク経由で送信されることもない
なぜPasskeyはフィッシングに対して有効なのか?
Passkeyは作成時のドメイン名(例:binance.com)に紐付けられています。フィッシングサイト(例:b1nance.com)でログインしようとすると、デバイスがドメイン名の不一致を検出し、署名の生成を拒否します。これはプロトコルレベルで組み込まれたフィッシング対策であり、ユーザーの判断力に依存しません。
デバイスの互換性
iOSデバイス
- 要件:iOS 16以上
- 保存場所:PasskeyはiCloudキーチェーンに保存
- クロスデバイス同期:iCloud経由で全てのAppleデバイスに自動同期
- 認証方式:Face IDまたはTouch ID
Androidデバイス
- 要件:Android 9以上(最高の体験にはAndroid 14以上を推奨)
- 保存場所:Googleパスワードマネージャー経由で保存
- クロスデバイス同期:Googleアカウント経由で同期
- 認証方式:指紋、顔認証、または画面ロック
クロスプラットフォームの使用
Passkeyはデバイスをまたいだログインをサポートしています。例えば、スマートフォンのPasskeyを使ってPCでBinanceウェブ版にQRコードスキャンでログインすることができ、PC側での追加設定は不要です。
BinanceアプリでPasskeyを設定する
設定手順
- Binanceアプリを開いてログインしていることを確認
- 左上のアバターをタップ → 「セキュリティ」
- 「Passkey」または「パスキー」オプションを探す
- 「Passkeyを作成」をタップ
- セキュリティ認証が求められる(パスワード + Google認証コード/SMS認証コード)
- 認証が通ると、デバイスのPasskey作成プロセスが起動する:
- iOS:Face ID/Touch IDの確認ウィンドウが表示される
- Android:指紋/顔認証の確認ウィンドウが表示される
- 生体認証を確認すると、Passkeyの作成が完了
- Passkeyの名前と作成日時が表示される
作成完了後
- Passkeyはデバイスのセキュアストレージに自動保存される
- iOSユーザーは「設定 → パスワード」で確認できる
- AndroidユーザーはGoogleパスワードマネージャーで確認できる
- Passkeyは同一アカウントの他のデバイスに自動同期される
Passkeyでログインする
同じデバイスでログインする場合
- Binanceアプリのログイン画面を開く
- 「Passkeyでログイン」(または類似のオプション)を選択
- 生体認証の確認が求められる
- Face ID/指紋認証を完了
- ログイン成功
このプロセス全体でパスワードや認証コードの入力は一切不要で、通常2秒以内に完了します。
PCでスマートフォンのPasskeyを使ってログインする場合
- BinanceウェブのログインページLを開く
- 「Passkeyでログイン」を選択
- QRコードが表示される
- スマートフォンでQRコードをスキャン(iOSはカメラアプリ、AndroidはシステムQRスキャン)
- スマートフォンで生体認証の確認
- 認証完了後、ウェブページが自動的にログイン
Passkeyと従来の認証方式の比較
| 比較項目 | Passkey | パスワード+Google認証 | パスワード+SMS | YubiKey |
|---|---|---|---|---|
| 利便性 | 非常に高い | 普通 | 普通 | デバイス携帯が必要 |
| フィッシング対策 | 組み込み済み | なし | なし | 組み込み済み |
| リモート攻撃 | 免疫 | 難しい | SIMハイジャック可能 | 免疫 |
| デバイス依存 | 対応デバイスが必要 | スマートフォンが必要 | 電話番号が必要 | キーが必要 |
| コスト | 無料 | 無料 | 無料 | 50〜70ドル |
| クロスデバイス同期 | 対応 | 手動移行が必要 | SIMカード依存 | 非対応 |
| バックアップ | クラウド自動バックアップ | 手動バックアップが必要 | キャリア依存 | バックアップデバイスが必要 |
Passkeyのセキュリティ深堀り分析
利点
- フィッシング対策:ドメイン紐付け機能でフィッシング攻撃を根本的に排除
- リプレイ攻撃対策:認証ごとの署名はすべて一意
- データ漏洩の影響を防止:サーバーには公開鍵のみ保存され、漏洩しても安全
- パスワード送信なし:認証プロセス中にパスワードがネットワーク経由で送信されない
- 優れたユーザー体験:生体認証一発で完了、記憶不要
潜在的なリスク
- デバイスセキュリティへの依存:デバイス(スマートフォン)が侵害された場合、Passkeyが悪用される可能性がある
- クラウドアカウントのリスク:PasskeyはiCloud/Google経由で同期されるため、クラウドアカウントが侵害された場合にPasskeyが暴露される可能性がある
- デバイスの紛失:すべてのデバイスを紛失し、クラウドアカウントにアクセスできない場合、Passkeyへのアクセスを失う可能性がある
緩和策
- デバイスのOSとアプリを常に最新の状態に保つ
- iCloud/Googleアカウントに強力なセキュリティ認証を有効にする
- バックアップとして少なくとも一つの従来の認証方法(Google認証など)を残しておく
- 追加のPasskey保存先としてYubiKeyの使用を検討する
Passkeyのマルチデバイス管理
複数のPasskeyを追加する
同じBinanceアカウントに複数のPasskeyを作成することができます:
- iPhoneのPasskey(iCloud経由でiPad、Macに同期)
- AndroidスマートフォンのPasskey
- YubiKey上のPasskey
異なるエコシステムのPasskeyを少なくとも2つ作成することを推奨します。単一エコシステムの障害でログインできなくなるリスクを避けるためです。
Passkeyを削除する
特定のPasskeyが不要になった場合:
- 「セキュリティ」→「Passkey」に移動
- 削除したいPasskeyを見つける
- 削除をタップ
- セキュリティ認証を完了
注意: Passkeyを削除する前に、他のログイン方法がまだ利用可能であることを確認してください。
よくある質問
Passkeyを設定した後もパスワードでログインできますか?
はい。Passkeyは追加のログインオプションであり、パスワードログインをキャンセルするものではありません。Passkeyでログインするか、従来のパスワードでログインするかを選択できます。
PasskeyはGoogle認証に取って代わりますか?
現時点ではなりません。Passkeyが主に置き換えるのはパスワードであり、Google認証は追加のセキュリティレイヤーとして依然として価値があります。特に出金などの高感度操作を行う際には、引き続きGoogle認証が必要になる場合があります。
スマートフォンを機種変更した後もPasskeyは残りますか?
同じApple IDまたはGoogleアカウントを使用している場合、Passkeyは新しいスマートフォンに自動同期されます。異なるエコシステムに移行した場合(iPhoneからAndroidなど)は、新しいデバイスでPasskeyを再作成する必要があります。
スマートフォンで生体認証が使えない場合はどうすればいいですか?
デバイスの画面ロックパスワード(PINコード/パターン)を生体認証の代わりに使用してPasskey認証を完了させることができます。
Passkeyはすでに十分安全で、他の措置は必要ありませんか?
Passkeyは非常に安全ですが、それでも多層的なセキュリティ対策を維持することをお勧めします。セキュリティ分野の核心原則は「多層防御」です。ある層が突破されても、他の層があなたを保護するという考え方です。
まとめ
Passkeyは認証の未来の方向性を示しています。パスワードより安全で、あらゆる従来の認証方法より便利で、さらにフィッシング対策も内蔵されています。お使いのデバイスが対応していれば、設定しない理由はありません。ただし、厳密なテック系ブロガーとして、Passkeyをセキュリティ体制の「完全な置き換え」ではなく「追加の強化」として位置づけることをお勧めします。Passkeyに加えて、Google認証や出金ホワイトリストなどの従来のセキュリティ対策も維持することが、最も確実な方法です。