Google アカウント | パスキーは危険?安全性について
Google アカウントのログイン・セキュリティ機能で設定できるパスキーの安全性について紹介しています。
パスキーの仕様と安全性
PINコードや指紋認証・顔認証などの認証システムでは、モバイル端末・PC端末ともに、保存するデータは暗号化され端末内に保存され、ログイン時に活用する仕組みとなっています。
例えばGoogleアカウントにログインするために、Windows PCで登録しているPINコードや指紋データを利用していも、認証に成功したという情報以外、指紋データなどはGoogleが取得する事はできないようになっています。
これはGoogle アカウントに限らず、端末の認証システムを利用する他のWEBアプリ、ネイティブアプリも同様に認証に使う指紋データなどは直接取得できないようになっています。
また、Windowsにて認証用に指紋データを登録しても、その指紋データ自体はMicrosoftに送信されず、Microsoftでも取得していない事になっています。
Android端末に登録した指紋データも、端末内に暗号化され保存されるだけでGoogleは取得していません。
生体認証システムは十分に安全といえる仕様となっていますが、例えば端末のメーカーによっては、生体認証データの登録時に不正にデータが取得される可能性はゼロではありませんので、製造元に不安がある場合は利用しない事も選択肢になります。
一番安全な生体認証は?
PINコードは、他人に盗み見られたり、誕生日や記念日などの予測から認証突破される可能性があります。
生体認証の中でも一般的で便利な指紋データは、ロックしているスマホを寝ている間に指を使って他人に認証突破される可能性はあります。
顔認証は寝ている間、目を閉じている状態での認証には基本的に失敗するようになっていると思います。
iPhoneの場合、「Face IDを使用するには注視が必要」を無効に設定してある場合、目を閉じている状態でも認証が可能です。
他人に操作されるかも、という面ではPINコードや指紋認証・顔認証の中では、顔認証が一番安全とも考えられます。
これらは自身の端末で他人に認証される事を防ぐ目的の認証システムであり、他の端末からアクセスされる危険性において、PINコードや指紋認証・顔認証は関係ありません。
外部からの乗っ取りや不正ログイン対策として電話番号、SMS、メールアドレスでの2段階認証も併用します。