
パスキー認証に対する脅威と対策 (2025秋)
ARANK
ritouです。ここ数年、ユーザー認証のお話をさせていただいている中、最近ようやく「パスキー認証はね、入れとかないと」みたいな雰囲気になってきましたが、しかしその一方で、「パスキー認証のこういうところが好きになれない」といったご意見も当初からいただいています。今回は、その中の「こうしたらやられる」と言う主張、つまりパスキー認証に対する現状の脅威、考えられる対策 について整理しましょう。ユーザー認証の現状とこれからユーザー認証はここ数年、脅威の認識と対策の繰り返しの中で変化してきました。パスキー登場までの経緯については、 “パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係 にて整理しています。3行でまとめると、次のようになります。パスワード認証のみの利用は、パスワードの使い回しによる他サービスへの影響範囲を考えても、極めて危機的な状況である一般的に使われている「パスワード認証 + α」の方式は、リアルタイム型フィッシングで突破される可能性があることも知られているパスキー認証では、これら従来の脅威への対策が実装されています。 導入を進めるべき。この「過渡期」から、パスキーが当たり前に使わ…