- ドイツ政府はパスキーを主要な認証方法にしたいと考えている
- パスキーはより安全で使いやすく、フィッシング攻撃にも強いと主張
- 2024年時点で、パスキーの認知度はまだかなり低いとドイツは認めている
ドイツ政府は、パスワードに代わる主要な認証方法としてパスキーを導入する計画を打ち出した。パスキーはより安全で、フィッシングに強く、ユーザーフレンドリーであると見なされている。
BSI(ドイツ連邦情報セキュリティ局)の発表には、パスキーがどのように機能するかを詳述したガイドライン案(BSI TR-03188)も付随しており、パスキーがウェブサイトに保存された公開鍵とユーザーのデバイスに保存された秘密鍵を比較する仕組みが説明されている。
デバイスに紐づけてローカルに保存されるパスキー(デバイスバウンドパスキー)と、暗号化されたクラウドに保存され複数デバイスで利用できる同期型パスキーの両方が、認証方法として許容されると記載されている。
ドイツはパスキー利用の標準化を目指す
パスキーはアカウントごとに固有であり、複数のサイトで使い回すことができないため、即座にセキュリティが向上する。推奨されているにもかかわらず、多くの人が利便性のために複数のアカウントで同じパスワードを使い回しているのが現状だ。しかし、パスキーはデバイスやクラウドに保存されるため、ユーザーはすべてのアカウントのパスキーを覚えておく必要がない。
また、パスキーは中間者攻撃やフィッシング攻撃にも強く、承認されたデバイスからユーザー自身の秘密鍵を使う必要があるため安全性が高い。
「サイバーセキュリティはできる限りシンプルかつ堅牢でなければなりません。パスキーは技術的課題を技術的解決策で乗り越える好例です。未来はパスキーのものです」と、BSIのクラウディア・プラットナー長官は述べている(翻訳)。
それでも、BSIはまだ課題が多いことを認識している。2024年の調査では、パスキーを知っている人はわずか38%、実際に利用している人は18%にとどまった。また、パスキーの普及は遅く、初期にはパスキーによるログインを提供するウェブサイトがほとんどなかったという事実もある。
しかし現在では、ドイツ政府だけでなく、その利点を認識する組織が増えている。
2025年5月には、マイクロソフトが新規アカウントをデフォルトでパスキー対応にすると宣言しており、いずれ既存アカウントにも拡大される見込みだ。
翻訳元: https://www.techradar.com/pro/security/germanys-government-wants-to-replace-passwords-with-passkeys
