パスキー vs パスワード — 2026年に知っておくべきこと

パスワードは何十年もオンラインアカウントを保護する標準でした。しかし、使い回し、忘却、フィッシング攻撃など、問題は山積みです。パスキーはこれらの問題を解決するために生まれた新しい認証方式で、パスワードを完全に置き換えることを目指しています。

この記事では、パスキーとは何か、どう動くのか、パスワードとの比較、そして現在の普及状況を解説します。

パスキーとは？

パスキーは、ユーザー名とパスワードに代わる暗号学的な認証情報です。パスワードを入力する代わりに、デバイスの内蔵セキュリティ（指紋、顔認証、デバイスPIN）で認証します。

パスキーはFIDO2標準に基づいています。ブラウザで使うWebAuthn APIと、ハードウェアセキュリティキーで使うCTAPを含みます。

パスキーの仕組み（簡略版）

1. 登録: パスキーを作成すると、デバイスが公開鍵と秘密鍵のペアを生成。公開鍵はウェブサイトに送信され、秘密鍵はデバイスに残り外部に出ません。
2. ログイン: ウェブサイトがチャレンジを送信。本人確認（指紋、顔、PIN）後、デバイスが秘密鍵で署名。ウェブサイトは公開鍵で署名を検証。
3. 共有される秘密がない: パスワードと違い、機密情報が送信・保存されません。盗む、フィッシングする、漏洩するパスワード自体がありません。

パスキー vs パスワード：直接比較

項目	パスワード	パスキー
フィッシング耐性	低い — 偽サイトに入力可能	高い — 正規ドメインにのみ作動
総当たり耐性	パスワード強度に依存	免疫 — 推測するパスワードがない
データ漏洩リスク	高い — ハッシュ化されたパスワードは解読可能	なし — サーバーに公開鍵のみ保存
ユーザーの手間	作成、記憶、入力が必要	指紋やカメラを見るだけ
2FA必要性	追加レイヤーとして頻繁に必要	内蔵 — デバイス所有 + 生体認証

パスキーの利点

1. フィッシングがほぼ排除される

パスキーはウェブサイトのドメインに暗号学的に紐づけられます。攻撃者が偽のログインページを作っても、パスキーは動作しません。

2. 覚えることがない

忘れるパスワードも、複雑さの要件も、定期変更ポリシーもありません。

3. 漏洩するパスワードがない

サーバーには公開鍵のみ保存されるため、データ漏洩が起きても攻撃者に有用な情報は露出しません。

4. 二要素認証が内蔵

パスキーは本質的に2つの認証要素を組み合わせます：所有（デバイス）と本人（生体認証）または知識（デバイスPIN）。

パスキーの限界

1. デバイス依存

すべてのデバイスへのアクセスを失い、リカバリ方法も設定していない場合、アカウント復旧が困難になる可能性があります。

2. まだ普遍的にはサポートされていない

Google、Apple、Microsoftなどは対応していますが、多くのウェブサイトは未実装です。

3. クロスプラットフォーム体験にばらつき

iPhoneで作ったパスキーでWindows PCにログインするにはBluetoothとQRコードスキャンが必要です。

4. 共有アカウントが困難

パスキーで保護されたアカウント（家族の動画配信サービスなど）の共有は、パスワード共有より複雑です。

現在の普及状況（2026年）

プラットフォーム	パスキー対応
Google	完全対応
Apple	完全対応（iCloudキーチェーン同期）
Microsoft	完全対応（Windows Hello）
Amazon	対応
GitHub	対応
1Password / Bitwarden	パスキー保存・同期対応
多くの銀行アプリ	限定的
多くの中小サイト	未対応

パスキーに切り替えるべきか？

対応しているサービスではパスキーを有効にしましょう。それ以外ではパスワードマネージャーで管理する強力なパスワードを引き続き使ってください。

認証情報を共有する必要がある場合

パスキーはセキュリティを向上させますが、共有という新たな課題を生みます。パスキーはコピー&ペーストできません。

チームアカウントや一時的な認証情報を共有する場合は、LINEなど履歴が残るアプリにパスワードを直接貼り付けないでください。代わりにLOCK.PUBで有効期限付きの秘密メモを作成しましょう。設定した期間が過ぎれば認証情報は消えます。

パスキーはパスワード発明以来、最も大きな認証方式の転換です。対応サービスではパスキーを、それ以外では良好なパスワード管理を続けるのが現実的な方法です。

秘密メモを作成する -->