パスキー認証とは？仕組みと注意点まとめ【パソコン・スマホ】

パスキーは、FIDO2という国際規格にもとづいた認証の仕組みです。使っているのは公開鍵暗号方式（ふたつの鍵をペアで使う暗号技術）になる。 登録すると、「秘密鍵」と「公開鍵」のペアが作られます。秘密鍵はスマホやPCなど自分のデバイスの中だけに保存される。一方で、サーバー側に渡るのは公開鍵だけです。

パスキーを設定したスマホを失くして、アカウントに入れなくなった。「何も覚えなくていい認証」のはずが、端末ごとなくなるとは思わなかった――そんな声をよく見かける。

パスキーは安全で便利な認証方式です。ただし、仕組みを正しく知らないまま使うと、いざというとき困る場面がある。

この記事では、パスキーが「デバイス認証」である点を軸に、紛失時に何が起きるか、事前にやっておくことを整理した。

パスキー認証は「デバイス認証」が基本になっている

パスキーとは、FIDO2という国際規格にもとづいた認証の仕組みです。使っているのは公開鍵暗号方式（ふたつの鍵をペアで使う暗号技術）になる。

登録すると、「秘密鍵」と「公開鍵」のペアが作られます。秘密鍵はスマホやPCなど自分のデバイスの中だけに保存される。一方で、サーバー側に渡るのは公開鍵だけです。

つまり、パスワードのように「サーバーに保存された秘密が漏れる」というリスクがない。ここがパスキーの大きな強みになる。

認証の判断基準はシンプルです。「登録済みのデバイスから接続しているかどうか」。これがデバイス認証と呼ばれるゆえんになる。

ユーザーが覚える秘密情報はない。ただし、デバイスのロック解除は毎回必要です。生体認証（指紋や顔）やPINの入力は省略できない。ここを「一切の操作がいらない」と思い込むと、あとで戸惑うことになる。

実際にあるトラブルから見てみます。

スマホを落として、そのままアカウントに入れなくなった。パスキーしか設定しておらず、パスワードも消していた――このパターンが典型的です。

秘密鍵はデバイスの中にしかない。端末の紛失や故障は、鍵そのものの消失を意味します。パスワードなら別の端末から入力すればいい。とはいえ、パスキーではそれができない。鍵を持った端末がなければ認証が通らないからです。

もうひとつ多い誤解がある。「何も覚えなくていい＝何もしなくていい」という思い込みです。パスキーを使うたびに、デバイス側で生体認証かPINの入力を求められます。認証の操作自体はゼロにはならない。

さらに危ないのが、パスキー設定後にパスワードを削除してしまうケースです。サービスによっては、パスワードを消すとメールやSMSでの復旧もできなくなる。こうなると、アカウントへの復帰手段がなくなる。

パスキーには「同期」という仕組みがあります。同じプラットフォーム内なら、複数のデバイスで秘密鍵を共有できる機能です。

たとえば、iPhoneで作ったパスキーはiCloudキーチェーン経由で、同じApple IDのiPadやMacにも同期される。Androidなら、Googleパスワードマネージャーが同じ役割を持っている。

ただし、ここに落とし穴がある。AppleとGoogle、Microsoftなど異なるプラットフォーム間では、パスキーの同期が制限されます。iPhoneで作ったパスキーが、Windows PCに自動で渡るわけではない。

確認したほうがいいのは以下の点です。

自分のサービスがパスキーの同期に対応しているかは、設定する前に確認したほうがいい。同期されない環境でパスキーだけに頼ると、特定の端末でしかログインできなくなる。

リカバリーコードは、サービスのセキュリティ設定やアカウント設定の画面から発行できます。紙に書いて保管するか、別のデバイスに保存しておくのがいい。スクリーンショットだけだと、端末ごと失うと意味がなくなる。

メールアドレスや電話番号は、機種変更のたびにずれやすい。パスキー設定時に登録した連絡先が古いままだと、復旧メールが届かない。サービスのアカウント設定画面で、今使っている連絡先になっているか見ておく。

端末の買い替え時は、移行前にやることがある。iPhoneならiCloudキーチェーンの同期がオンか確認する。Androidなら、Googleパスワードマネージャーの設定画面で同期が有効かを見る。移行してからでは手遅れになることもある。

パスキーはパスワードより安全で、覚えることもない。ただ、デバイスに依存する仕組みだからこそ、端末を失ったときの備えが必要です。

パスキーの秘密鍵はデバイスの中にしかない。同期とリカバリーコードの設定だけは、端末が手元にあるうちに済ませておく。