无密码认证
本文约需 2 分钟阅读
パスワードレス認証とは、パスワードを使わずに本人確認を行う認証方式の総称です。パスキー、セキュリティキー、生体認証、マジックリンクなど 複数の実装方式があり、いずれもパスワードという「共有秘密」を排除することで、 漏洩・使い回し・フィッシングといったパスワード固有の脆弱性を根本から解消します。 Microsoft は 2025 年に新規アカウントのデフォルトをパスワードレスに切り替え、 10 億人以上のユーザーに影響する大規模な移行を進めています。
パスワードの問題点を根本的に解決する理由
パスワード認証には構造的な欠陥があります。サーバー側に秘密 (ハッシュ化された パスワード) を保存する必要があり、サーバー侵害時に大量の認証情報が漏洩します。 ユーザーは記憶に頼るため、パスワード疲れから 使い回しや単純化に走り、クレデンシャルスタッフィングの 標的になります。パスワードレス認証はこれらの問題を以下のように解決します。
サーバーに保存されるのは公開鍵のみ。漏洩しても悪用できない。
パスワードが存在しないため、使い回し自体が不可能になる。
FIDO2 ベースの方式はオリジン検証により、偽サイトでの認証が成立しない。
実装方式の分類
| 方式 | 仕組み | フィッシング耐性 | 主な用途 |
|---|---|---|---|
| パスキー | FIDO2 公開鍵暗号 + クラウド同期 | ◎ 高い | 一般ユーザー向けサービス |
| セキュリティキー | FIDO2 公開鍵暗号 + 物理デバイス | ◎ 高い | 企業の高セキュリティ環境 |
| マジックリンク | メールに一時的なログイン URL を送信 | △ 低い | Slack、Notion など SaaS |
| 生体認証 (単体) | 指紋・顔・虹彩をデバイスで照合 | ○ 中程度 | スマートフォンのロック解除 |
マジックリンクはパスワードを排除しますが、メールアカウントが侵害されると 突破されるため、フィッシング耐性は限定的です。FIDO2/WebAuthn ベースの パスキーやセキュリティキーが、セキュリティ面では最も堅牢な選択肢です。
よくある誤解 - パスワードレス ≠ パスワード不要
「パスワードレス」という名称から「パスワードが一切不要になる」と誤解されがちですが、 現実はもう少し複雑です。パスキーのクラウド同期には Apple ID や Google アカウントの パスワードが必要であり、パスワードマネージャーのマスターパスワードも依然として存在します。 パスワードレス認証が解消するのは「サービスごとに個別のパスワードを管理する負担」であり、 認証基盤の根幹にはまだパスワードが残っている場合が多いのが実情です。
導入の現状と移行期の課題
2025 年時点で、Apple、Google、Microsoft の 3 大プラットフォームがパスキーに対応し、 GitHub、Amazon、PayPal など主要サービスでの採用が進んでいます。しかし、 すべてのサービスが一斉にパスワードレスに移行するわけではなく、当面は パスワードとパスワードレスの並行運用が続きます。
移行期の実務的な課題として、パスキー未対応のサービスには引き続きパスワードマネージャーで 強力なパスワードを管理する必要があります。パスキー移行の課題や二段階認証の基本も あわせて確認しておくと、段階的な移行計画を立てやすくなります。パスワードレス認証の技術書 (Amazon)も実装の参考になります。
現場での使用例
「社内の Microsoft 365 をパスワードレス (Windows Hello + Authenticator) に 移行した結果、ヘルプデスクへのパスワードリセット依頼が月 150 件からゼロに。 ログイン時間も平均 12 秒から 3 秒に短縮され、従業員満足度が大幅に向上しました。」
生体認証のリスクも パスワードレス導入時に把握しておくべき重要なトピックです。
这篇文章对您有帮助吗?