パスキーとパスワードの違いは？仕組みや安全性、注意点

パソコンやスマホを使っていると目にすることがある「パスキー」。パスワードとはどう違うのでしょうか？　パスキーとは、一部のデバイス、プラットフォームのログインに使用されている新しい認証方法です。利便性や安全性が高いセキュリティーとして一部のサービスに採用されています。この記事では、パスワードとパスキーの違いのほか、その安全性について紹介します。

ライター： CLIP編集部

パスワードとパスキーの違いは？

パスワードとパスキーそれぞれの概要と違いを紹介します。

パスワードとパスキーとは？

【パスワードとは】
パスワードはユーザー自身が作成した文字列を入力して本人確認を行う認証方法です。

大文字・小文字・数字・記号などを組み合わるほど安全性が高まります。ただ文字列を複雑にすると覚えにくくなり、同じパスワードを使いまわすと不正アクセスのリスクが高まるといった課題があります。

【パスキーとは】
パスキーは、パスワードの代わりに端末や外部セキュリティーキーの中に安全に保管された専用の「秘密鍵」を使ってログインする、新しい認証方法です。多くの端末で既に設定済みの画面ロック（指紋・顔・PIN・パスワード）をパスキー利用時の本人確認としてそのまま利用でき、ログイン時にOSやブラウザが表示するプロンプト（指示）に従って本人確認を行います。

例えばWindowsパソコンでGoogle Chromeを起動する際、パスキーを使用すると、以下のような指示が表示されます。そこで顔認証またはPINコードと呼ばれる暗証番号を入力すれば簡単にログインできます。

パスキーは、デバイス（または外部キー）に保存される秘密鍵と、サーバーに保存される公開鍵を組み合わせて本人確認を行う「公開鍵暗号方式」で構成されています。Apple、Google、PayPal、Adobe、Microsoftなどのサービスのアカウントを通じて暗号化され、安全に同期・管理されます。

一部のサービスでのみ使用可能な新しい技術ですが、パスワードを覚える必要がなくハッキングなどのリスクも少ないセキュリティーとして注目を集めています。

パスワードとパスキーの違い

作成方法、セキュリティー強度、認証方法、対応範囲などの観点から、パスワードとパスキーの違いについて紹介します。

作成方法

パスワードは、生成サービスやブラウザや端末の自動生成機能もありますが、ユーザーが自分で設定することが一般的です。パスキーは、デバイスがサイトごとに自動で安全な鍵（秘密鍵・公開鍵ペア）を生成します。ユーザーが文字列を覚える必要はなく、定期的な更新も自動化されています。ただし、デバイスのロック解除に使うPINや生体認証の管理は必要です。

セキュリティー強度

パスワードは推測・漏えい・フィッシングメールなどの攻撃の対象になりやすいのに対し、パスキーはフィッシング、リプレイ攻撃などのサイバー攻撃への耐性が高い点が大きな特長です。そもそもパスワードがないため、漏えいや推測のリスクが構造的に低くなります。

認証方法

パスワードは、作成した文字列をユーザーが入力して認証する方式です。文字列を覚える必要があり、複数回入力ミスすると一時的にログインがブロックされる可能性もあります。

パスキーは、パソコンやスマートフォンで生体認証（指紋・顔認証）を行います。生体認証に失敗した際は、PINコードを使用して認証できます。

対応範囲

パスワードは、対応範囲が広く、ほぼすべてのオンラインサービスで採用されています。パスキーは、主要プラットフォーム（Apple、Google、Microsoft）や大手オンラインサービス、PayPalなどの一部大手金融・決済サービスなど多くのサービスで導入が進んでいますが、まだ完全普及には至っていません。今後利用できるサービスが拡大する見込みです。

パスキーはパスワードより安全？

パスキーは、これまで一般的に使われてきたパスワードと比べて、仕組みそのものが高度なセキュリティーを備えています。ここでは、パスキーが「なぜ安全なのか」を具体的に解説します。

パスキーは“盗まれない”仕組みになっている

パスキーに使用されている公開鍵暗号方式は、秘密鍵が外部に流出しない仕組みを前提とした認証方式です。本人確認を行うには、公開鍵と秘密鍵のペアが必要ですが、「秘密鍵」はユーザーのデバイス内にとどまり、外部に流出することはありません。そのため、流出・盗難・覗き見・総当たり攻撃といった多くのサイバー攻撃が成立しづらい構造になっています。

フィッシング詐欺が効かない

フィッシング詐欺は、メールやSMSなどを通してユーザーを偽のログイン画面に誘導し、パスワードや個人情報を盗み出すサイバー犯罪です。入力方式というパスワードの弱点をついた詐欺行為ですが、パスキーはそもそもパスワードが不要なため、フィッシング詐欺が成立しません。

また、ご紹介したように、パスキーの認証には秘密鍵（デバイスにローカル保存）と公開鍵（正規サービスのサーバーに保存）の一致が不可欠です。そのため、偽サイトで認証を行おうとしても、端末側が「正しいサイトではない」と判断してエラーになります。

つまり、仮にユーザーが偽サイトに誘導されても、端末が自動でフィッシングを防御してくれる仕組みになっています。

総当たり攻撃が効かない

総当たり攻撃とは、パスワードのすべての文字列の組み合わせを試行し、正しい認証情報を見つけ出す手法です。パスキーで自動生成される鍵は、推測や総当たり攻撃が事実上不可能な桁数で構成されており、このような攻撃を無効化する強度があります。

生体認証のため“本人以外は使えない”

パスキーの認証は、生体認証（指紋・顔認証）やPINコードで行われるため、仮にデバイスを盗まれても利用できない仕組みになっています。第三者がログインを行うことが極めて難しく、高いセキュリティーを維持できる認証方法といえます。

パスキーのデメリット

パスキーはパスワードの弱点を改善した強度の高い認証方法ですが、以下のようなデメリットもあります。

デバイスにひもづけられた認証方式である

パスキーは秘密鍵がデバイス内に保存されるため、特定の端末に依存します。そのため「パソコンでパスキーを生成したアカウントにスマホからログインできない」といったトラブルが生じる可能性があります。また、デバイスごとに生体認証やPINコードを登録するため、複数のデバイスを使用していると管理がやや煩雑になることもあります。

デバイスの紛失・故障でアクセスができなくなる

デバイスの紛失・故障・初期化により、ローカル保存のパスキーが使えなくなることがあります。パスキーを同期しているGoogleアカウントやApple IDの認証情報（パスワード、登録メールアドレス、リカバリーコードなど）を、メモやオフラインのパスワードマネージャーなどに保管するか、あらかじめスマホやパソコンなど複数の端末でもログインできるように、各端末を登録しておく必要があります。

パスキーを使用する際には、このようなデメリットも理解して対策を考えておくことが大切です。

まとめ

パスキーは、パスワードの課題となっているフィッシング詐欺や総当たり攻撃を無効化する高強度な認証方法です。ただ、「一部のサービスやプラットフォームのみ使用可能」「デバイスに依存するため、管理が煩雑になりやすく、紛失・故障するとログインができなくなる」といったデメリットもあります。パスキーの設定を検討している方は、このような点に注意しながら利用しましょう。