パスワード vs パスキー
合言葉か合鍵か
パスキーは新しい暗号ではなく、既存の公開鍵認証の「使いやすさ・安全性の標準パッケージ」
残念ながら「合鍵」という日本語訳だと鍵の複製に誤解しそうなので、カタカナの「パスキー」が良さそう
完全上位互換ではなく、適材適所で正しく実装、運用しよう
1. 比喩とか具体例とか
| 場面 | パスワード(Password) | パスキー(Passkey) |
|---|---|---|
| トレジャーハント | ダンジョン入口の 合言葉 | 宝箱を開ける 勇者だけ使える世界に1つの鍵 |
| ニンジャ | 合言葉「山!」→「川!」 | 固有の印の筆跡鑑定で本人証明 |
| 現代 | Wi-Fiパスワード | 顔認証でサイトログインできる仕組み。 裏ではサーバから署名依頼が来て、顔認証通ったスマホが署名してるっぽいけど気付かないよね |
一言で:
パスワードは 知っていること で証明
パスキーは 本人だけ使えるデバイスが署名して証明
2. 定義と存在スコープ
| 項目 | パスワード | パスキー |
|---|---|---|
| 本質 | 共有シークレット(合言葉) | 公開鍵認証の仕組み(鍵+署名) |
| 保存場所 | サーバ側(ハッシュ保存が一般的) | 端末の暗号領域(秘密鍵) |
| 照合場所 | サーバ側 | サーバは公開鍵で署名を検証 |
| 秘密の通信 | ネットワークを通過する | ネットに出ない(署名のみ送信) |
| 認証分類 | 知識要素(Something you know) | 所有+生体/ローカル認証(2要素設計) |
| 失効管理 | パスワード変更で無効化 | 公開鍵の削除・デバイス管理で無効化 |
3. 規格・ガイドライン
パスワード関連
-
NIST SP 800-63(事実上の業界標準)
- 8文字以上推奨
- 定期変更不要
- 使い回し禁止・漏洩チェック推奨
- 複雑性より長さと安全運用
- OWASP ASVS(Web認証実装ガイド)
- RFC 7617(Basic認証)
パスキー関連(PasskeyというRFCはないが構成技術は標準化)
- WebAuthn(W3C標準):ブラウザ認証API
- FIDO CTAP2:デバイス通信仕様
- RFC 8446:TLS 1.3(通信暗号化)
- 公開鍵暗号関連(RFC 5280 / 8017 / 6979 など)
パスワードは 一致照合の世界
パスキーは 署名検証の世界
4. 共通点と明確な違い
共通点
- 「本人確認」という目的
- 総当たり(ブルートフォース)対策が必要
- フィッシング対策が現代の必須要件
違い
| 観点 | パスワード | パスキー |
|---|---|---|
| フィッシング耐性 | 弱い | 極めて強い(Originバインディング) |
| 漏洩リスク | DB漏洩・使い回しで壊滅 | 鍵は端末外に出ないため漏洩しない |
| 送信内容 | パスワード(TLSで暗号化) | 署名(秘密鍵は送らない) |
| サーバ保存 | ハッシュ(総当たり攻撃対象) | 公開鍵(秘密を推測できない) |
| 人間の負担 | 覚えて管理する必要 | 人間は覚えない(デバイスが証明) |
比喩
| 表現 | 対応 |
|---|---|
| 合言葉を言う(パスワード) | 共有シークレット照合 |
| 南京錠、セキュリティワイヤは解錠と施錠が非対称(証明書/公開鍵認証) | 秘密鍵で署名、公開鍵で検証 |
| 南京錠の鍵は持ち出し禁止で家の金庫に入ってる | 秘密鍵はデバイス外に出ない |
| 金庫は指紋か暗証番号でしか開かない | 生体 or 端末PIN で秘密鍵を利用可能に |
| 署名する用紙、内容が毎回違う | サーバがチャレンジ(乱数)を生成 |
| 家の住所も照合される | WebAuthnはOriginバインディング |
| 合言葉はもう使わない | パスワードレス |
5. 歴史的な変遷
| 時代 | 認証の主役 | 課題と変化 |
|---|---|---|
| 1960〜 | パスワード誕生 | シンプルで十分だった |
| 1990〜 | Web時代のパスワード | 使い回しと漏洩が社会問題化 |
| 2010〜 | 多要素認証(MFA) | SMS・OTPなどで補強 |
| 2020〜 | パスワードレス(FIDO/Passkey) | 鍵と署名での認証に転換 |
歴史の本質:
人間の記憶力、パスワードはネットの拡張に耐えられなかった → 署名認証へ
6. 現代のベストプラクティス
| 領域 | 推奨 |
|---|---|
| パスワード運用 | 長いパスフレーズ / 使い回し禁止 / 2FA / 漏洩検知 |
| パスキーモデル | 端末の持ち主認証+署名だけでログイン / 鍵はデバイス管理 |
| 共通 | フィッシング耐性がない方式は信頼できない |
7. まとめ
パスワード = 合言葉を照合
パスキー = 端末の秘密鍵で署名して証明
| 要素 | パスワード | パスキー |
|---|---|---|
| 認証モデル | 照合(一致すればOK) | 署名検証(所有の証明) |
| 人間の役割 | 覚える・入力する | 解除(生体 or PIN)のみ |
| 秘密の扱い | 共有秘密 | 端末に閉じた秘密鍵 |
| 安全性 | ユーザー運用依存 | プロトコル設計から強い |