こんにちは！スタッフ19号です！
先日GoogleがGoogleアカウントへのログインで「パスキー（passkey）」を利用可能にしたと発表しましたね。

IT業界に入ってまだ１年経っていない私には、パスキー？？ってなんだろう？状態。

ITパスポートの勉強の時にセキュリティの所で見た気がする・・・。という程度だったので、少し調べてみました！

パスキーとは

パスワードに代わるより安全、迅速かつ使いやすい、パスワードレス認証に用いられる方式です。

認証に用いられていた要素の1つであるパスワードを、公開鍵暗号を利用したパスキーに置き換えることで、従来のパスワードとSMSを利用した二段階認証よりも強力なセキュリティを実現し、フィッシング攻撃に対する耐性を提供します。

要するに、パスワードを覚えておく必要もなくなるし、より安全にログインができるようになるということですね！

ここで更に？が・・・。

公開鍵暗号？２段階認証？

これらについてもどのようなものか見てみます。

公開鍵暗号とは

公開鍵暗号方式では2つの鍵を利用してデータのやり取りを行う方法です。

2つの鍵とは受信者が作成する「公開鍵」と「秘密鍵」のことです。
公開鍵は誰でも簡単に入手できる公開された鍵ですが、秘密鍵は1つしかない大切な鍵です。

流れとしては

1. Aさんが秘密鍵から公開鍵を作成しBさんに渡す
2. Bさんがその公開鍵を使って通信内容を暗号化する
3. 暗号化された文書をAさんが受け取る
4. Aさんが秘密鍵を用いて復号し中身を確認する

というようになります。

秘密鍵を持っている人のみが暗号を解くことができるため、秘密鍵は大切に保管しなければいけません。

また、公開鍵は誰でも取得できる場所に公開されています。

 

つづいては

２段階認証とは

2 段階認証とは、ウェブサービスなどにログインするときに ID とパスワードの入力以外に、アプリやセキュリティ コードでの追加認証を行い、本人確認することでセキュリティを強化する仕組みです。

従来、SNS やネット バンキングといったサービスでは、ID とパスワードの組み合わせでアクセスを許可していました。しかし、これら 2 つの組み合わせだけではセキュリティとして脆弱で、アカウントへの不正アクセスや乗っ取りなどの危険性があります。

しかし、2 段階認証では、本人が設定したパスワードを「知っている」ことに加え、ログインするための自分が所有するスマホなどのデバイスに本人証明するための通知があり「持っている」ことが認証条件となります。「知っている」だけでログイン認証ができてしまうとパスワードが漏れた場合、不正アクセスを許してしまいますが、「持っている」という条件が加わることで「物理的にモノが盗まれない限り不正アクセスされない」という強固なセキュリティになるのです。

このように、万が一 ID とパスワードが第三者に知られた場合でも不正アクセスを防げる可能性を高められるのが 2 段階認証だといえるでしょう。

とのことです。

パスワード入力を１回行うだけではなく、もう１段階が認証が必要ということで２段階認証というのですね。

調べてみると、最近ではこの２段階認証よりも、多要素認証の方がおすすめとされているみたいです。

では、その多要素認証とは何でしょうか？

多要素認証とは