パスキー対応 - アカウント管理

2023年、最も普及してほしい新技術は「パスキー」なのだが、Google アカウントもパスキー対応したので移行。メインの環境がiPhoneとMacなので、iCloud経由でのパスキー同期となる。

AppleIDの認証も、物理キーを購入して、パスワード認証から物理キー認証に移行。スマホのIDは財産とも結びついているので、慎重な管理をしたい。以前から可能な場合はYubiKeyを使った2FAを設定していたのだが、AppleIDの場合はバックアップも含め2つの認証キーが必要なので追加で導入した。

米国でパスコード盗み見とiPhone盗難を組み合わせ、資産を盗まれる事件が多発

パスキーとは

ごく簡単にいうと、パスワードレス認証の技術。

パスワードは簡単なのでよく使われるが、簡単なパスワードは総当りで簡単に敗れるし、同じパスワードを使い回しをしていると、一箇所で漏れたパスワードが別のところで侵入に使われる。3ヶ月に一度パスワードを変えるという、逆効果しかない謎習慣(PPAPのような)も生み出してしまう。

登場したのが2FA(2要素認証)。パスワード(知識)に加えて2つ目の「所有」というファクターを使って認証する。認証キーもそうだがSMS認証もスマホの所有を確認している。しかしSMS認証は海外生活者にとっては(国内在住であることを認証する目的があるなら別として)非常に使い勝手が悪い。認証キーが使える場合は認証キー。次善策として認証アプリ(時刻ベースのコードを生成する、Google Authenticateなど)を使いたい。

パスキーは、デバイスで、非常に複雑な鍵ペア(パスワードのようなもの)を生成して、それで認証を行う技術。生成された鍵はデバイスに保存され、生体認証などで有効化される。それだと、デバイスを亡くすとアウトなのだが、デバイス内の秘密鍵をクラウド(iCloudなど)で同期できるようにしたもの。クラウドに同期できるデバイスがあれば生成されたパスキーは、対応サービスのログインに使える。つまり、核となるクラウドへのログインが重要になってくる。

もしブラウザなどがパスキーに対応していなければQRコードを表示し、パスキー対応スマホでQRコードを読み込むことで認証する。

今回はGoogleアカウントがパスキーに対応したので、パスキーを生成した。これはiCloudで同期され、iPhone, MacOS(Ventura+Safari)で利用可能になる。

複雑なので、重ねて説明するが、Googleアカウントが(YubiKeyなどに加えて)パスキーでのログインに対応した。パスキー自体はiCloudで同期し、iPhone,  MacOS(Ventura+Safari)で使える、ということ。

MacOSはVentura(version 13.x)でパスキー対応となる。しかし、Venturaは長らくファイル名のNFC/NFDバグなど重大な不具合があったので12.6 Montereyからアップグレードしていなかった。深刻なバグは、あらかた13.4で解消される見込みなので導入。

YubiKey

認証キーとして高いシェアを持つのがYubiKeyシリーズ。1本目は、USB-C/lightning共用の5Ci。iPhoneもUSB-C化することなので、2本目はUSB-C/NFCの5C NFC。各種サービスに登録しておいて、別個に保管する。

Google アカウント

いろいろな認証方法を選べる。

• パスワード : 設定しなければならないが、これだけだと、漏れるとタイヘン。
• 2段階認証 : 有効にすると、パスワードに「追加」しての認証方法を登録できる。次のようなものが(複数)登録できる。いちど2段階認証でログインできると、そのデバイスは「信頼できるデバイス」となり、信頼できるデバイスからは、パスワードだけでログインできるようになる。
  
• セキュリティキー : YubiKeyなど
• Googleからのメッセージ : スマホにプッシュ通知が来て、それをタップすることで認証される。
• 認証システムアプリ : Google Authenticatorなど。時刻ベースでコードが表示される。デバイスを複数持っている場合は、すべての端末にインストールしておくべし。
• 音声またはテキストメッセージ : 電話番号を登録しておく。
• バックアップコード : 紙に印刷しておくやつ。
• パスキーを使うと、対応デバイスからのログイン時は、パスワードの入力は求められない。パスキーはiOSデバイス、macOS+Safariの場合、同期する。iPhoneからログインする場合、FaceIDでパスキーをアクティベートするとログインできる。macOS+Safariからのパスキー・ログインの場合はTouchIDでパスキーをアクティベートする。これがあるので、MacBookAirをクラムシェル状態で外付けディスプレイ、外付けキーボードに繋ぐ場合でも、キーボードにTouchID付きのMagic Keyboardを使う利便性が高まる。ますますロックインされてしまう。
  

 

Apple ID

パスワードと「信頼できるデバイス」に送られてくる確認コードが必要。それに替えて、パスワードとセキュリティ・キーでもログインできる。この場合「信頼できるデバイス」にコードは送られて来ず、セキュリティ・キーを紛失したらアカウントの復活は不可能になる。Googleのような複数の認証手段は用意されていない。そのため、セキュリティ・キーは2本登録が必要。別々に保管しておこう。

iPhoneを物理的に盗られて、パスコードが盗み見られていたら、このプロセスにおける「信頼できるデバイス」が盗られたことになる。パスワードリセットやApple IDのフルコントロールが可能になる。別の端末からログインして、信頼できるデバイスから盗まれたデバイスを削除しなければならない。

 

その他のサービス

• 「Google アカウントでログイン」のようなものがあった時は、利用したほうがパスワードの使い回しが減って良い。削除の制御もワンストップで簡単だ。
• しかし、GoogleアカウントからBANされたら一貫のおわり。Dropboxなど重要なサービスは独自のアカウントを使うのがよいだろう。
  
• 最近のブラウザを使っていれば、アカウント作成時に、強力なパスワードを自動生成して、ブラウザに覚えておいてくれて、クラウドで同期できる。できるかぎり利用した方が良い。
• 定期的にパスワードを変更させるようなサービスは、人間が考えた脆弱なパスワードを用いることになるので、現代の基準ではよくない。20年前の「俺が考えた最強のセキュリティ」。
  

現代においてクラウドサービスに課金することは避けられない。

iCloud=機種変更時のバックアップ。写真のバックアップ。130円/月=50GBのプランだと、写真でいっぱいになってしまう。iPhoneのバックアップが主目的で写真はGoogle Photoに分けた方がよい。

GoogleOne=Gmail、gPhotoの容量。地味にGoogleOneの写真AI編集が面白い。250円/月=100GB。バックアップには使わずに写真+Gmailメイン。

DropBox=ファイル共有&バックアップ。クラウドストレージとしては、単機能なサービスの方が使い勝手が良い。$9.99/月=2TB。メインマシンのバックアップはLinuxBox/NASにローカルで持っておく。

AmazonPrime=無課金。

2023-06-10追記

iCloudベースのパスキーではiPhone, macOS,Safariとロックインされてしまう。マルチプラットフォーム対応のパスキー(キーマネジャー)としては、1Passwordが対応を発表しており、それを待つのも良い選択だろう。