iPhoneではじめてパスキーを利用しようとしたら、「パスキーを管理する方法を選択」したり、「iCloudキーチェーンを有効にする」といった、設定が順番に出てきました。
どうして、このような設定が必要で、何を設定したことになるのでしょうか?
多くの会員サイトで、利用者がパスキーの利用できるようになってきています。
サイトにログインした状態で「パスキーの作成」を選択すると、パスキーの保存に関する画面が出てきます。
特に、はじめてパスキーを利用するときには、何度か似たような画面が出てきて、操作する必要があります。
これは、iPhoneでパスキーを使うには、その鍵の保存場所、いわば「デジタルのキーケース」を準備する必要があるのです。
1. 「パスキー」は複雑なパスワードみたいなもの
「パスキー」は、ちょっと複雑なので、まずはざっくりとしたイメージを説明します。
「パスキー」は、簡単に言えば「サイトの鍵情報をiPhoneに保存したもの」です。
よく「パスワードは、8文字以上の複雑なものを作りなさい」と言われますが、パスキーの鍵となる情報は 32文字以上の複雑な値です1。
「パスキーは生体認証のこと」と誤解されやすいですが、そうではないのです。
つまり、「パスキー」は、従来のパスワードの自動生成・自動保存・入力補助の機能に似ています。
iPhoneは、サイトごとに複雑な「秘密の合言葉」を自動的に作り、保管します。
iPhoneが自動的に管理してくれるので、利用する人間が「秘密の合言葉」を目にすることはありません。
したがって、偽サイトなどで間違って入力することもなくなる。
これが、パスキーの大まかな仕組みです。
1.1. パスキーを作成する・登録する・保存する(どこで?)
パスキーって、作成するものなの?
それとも登録するものなの?
パスキーを利用開始するときには、「パスキーを作成」・「パスキーを登録」・「パスキーを保存」などと言います。
これはどれも正解で、同じ手続きを見方を変えただけです。
パスキーを使えるようにする手順を、ざっと説明すると、
- iPhone内で機械的に「秘密の合言葉(=鍵情報)」データを作成し、
- その合言葉を暗号にしてサイトに登録し、
- 「秘密の合言葉」は、自分のiPhoneで保存し、厳重に保管する2
という3つの手順があるからです。
次に、サイトにログインするときには、今度は厳重に保管している「秘密の合言葉」をiPhoneで「取り出し」、サイトに登録してなる情報を照合します。
正しい合言葉ならサイトにログインできるわけです。
よく「パスキーの登録」では、「指紋や顔情報をサイトに登録して本人確認している」と勘違いしやすいのですが、実際には違います。
生体認証は、「iPhoneで厳重に保存した鍵情報」を入れるとき、そして取り出すときの鍵になっています。
つまり、生体認証は「鍵の鍵」、マスターキーになっているわけで、外部サイトに登録しているわけではありません。ちなみに、「秘密の合言葉を取り出す」という部分には二重三重の暗号化による保護があり、「パスワード漏洩があり得ない」設計になっています。
ちなみに、iPhoneで保存したパスキーは、iPhoneでそのまま利用するだけでなく、ほかのパソコンから利用することもできます。
パソコンのブラウザでの操作でパスキーを保存したり利用したりする場合には、表示されるQRコードを iPhoneのカメラで読み込みます。
2. パスキーを保存できるようにする下準備
さて、iPhoneでパスキーを保存する際には、どこに保存するのか選べるようになっています。
実は、パスキーは iPhone本体ではなく、AppleやGoogleなどに預けておくのが一般的だからです。
「パスキーを管理する方法」は、パスキーの保存先が決まっていない場合に表示されます。
パスキーを管理する方法を選択してください。
“設定”>”パスキー”>”パスワードオプション”で、iCloudキーチェーンにパスキーを管理させることができます。
「パスワードオプション」の設定では、パスキーの保存・取得先として、Appleの「パスワード」アプリやGoogle Chromeなどを選択・使い分けできます。
ここで、パスワード・パスキーを管理するサービスをAppleやGoogleなどの中から選んでいます。
iPhoneの場合は、「パスワード」アプリを有効化しておくのが一般的です。
2.1. Appleのパスワード管理機能を使う場合
「パスワード」アプリを選ぶと、さらに「iCloudキーチェーンをオンにする」必要が出てきます。
パスキーを保存するには、iCloudキーチェーンを有効にする必要があります。
“設定” > “Apple ID” > “iCloud” > “パスワードとキーチェーン” で iCloudキーチェーンを有効にできます。
これは、「Appleの運営するパスワード・パスキーを管理するサービスを使う」という意思表示です。
iCloudキーチェーンは、インターネットを利用して個人の機密情報を保存する重要な機能なので、Appleアカウントを持っていても自動的には有効になっていません。
そこで、iCloudキーチェーンを有効にします。
つまり、サービスを選んで、サービスを開始する、というのがこの2つの設定の意味です。
iCloudキーチェーンを利用するのは、機密情報をインターネットに保管することになります。
これは心配に感じます。
しかし、クラウド上のパスワード管理サービスは、実用上は十分安全だと言えます。
なぜなら、パスワードやパスキーなどの機密情報は、「E2E暗号化(End to End)」で保管しているからです。「E2E暗号化」は、iCloudに保存する鍵情報はiPhone内で暗号化されてから送られます。
この暗号を解く鍵は利用者のデバイス側にあり、インターネット上のデータだけでは役に立たないからです。
3. サイトのパスキーを保存する
これらの下準備が整うと、ようやくパスキーの保存ができるようになります。
「パスキーを作成しますか?」を続けると、生体認証やロック解除コードを入力します。
完了すると、iPhoneはパスキーを作成し、ウェブサイトに登録し、iCloudキーチェーンに保存します。
この作成したパスキーは、「パスワード」アプリで確認できます。
3.1. パスキーでサイトにログインする
ウェブサービスのログインページでは、「パスキーでログイン」などのボタンを押すと、生体認証やロック解除コードの確認があります。
すると、IDやパスワードを入力したように、ログインが完了します。
4. iPhoneのパスキーはパソコンでも利用できる
パソコンでも、iPhoneのパスキーを利用してログインできます。
ブラウザ上で「パスキーでログイン」などのボタンを押すと、QRコードが表示されます。
これを iPhoneのカメラで読み込んで、それからiPhoneのロック解除の操作をすると、iPhoneを通してウェブサービスの認証が完了します。
認証が完了すると、ログイン中で待機していたパソコン側の画面が進行します。