パスキーとパスワードの決定的な違い

パスキーと従来のパスワードの決定的な違いは、認証の基盤となる仕組み、ユーザーが管理すべき要素、およびセキュリティの堅牢性の3点に集約される。

1. 認証の基盤：知識か、所有と生体情報か

	パスワード	パスキー
認証要素	知識情報（Something you know）	所有情報（デバイス）＋生体情報/PIN
記憶の必要性	複雑な文字列を覚える必要あり	ユーザーは何も覚えなくてよい
操作	文字列を入力	スマートフォンのロック解除と同じ操作

2. 技術的仕組み：共有シークレットの有無

パスワード（共有シークレット方式） - ユーザーとサーバーの両方が同じパスワードを知っている必要がある - サーバーからデータが漏洩すると、攻撃者はそのパスワードで別サイトでもログインできる（リスト型攻撃）

パスキー（公開鍵暗号方式） - 秘密鍵：ユーザーのデバイス内に安全に保存。外部に送信されない - 公開鍵：サービス側のサーバーに保存。これだけではログイン不可 - 認証時はデバイスが秘密鍵を使ってチャレンジに署名するだけで、秘密情報そのものをインターネットに流す必要がない

パスワード認証:
  ユーザー → [パスワード文字列] → サーバー（保存・照合）
              ↑ 流出するとアウト

パスキー認証:
  ユーザー → [デジタル署名のみ] → サーバー（公開鍵で検証）
              ↑ 署名は使い捨て。盗んでも再利用不可

3. 耐フィッシング性能

パスワード：本物そっくりの偽サイトにパスワードを入力してしまうと盗まれる

パスキー：パスキーは作成時に特定の正規ドメインと数学的に紐付けられる。ブラウザ・OSがドメインを厳格に照合するため、偽サイトに誘導されてもデバイス側が「このサイト用の鍵はない」と判断し、認証自体が成立しない → パスキーのフィッシング耐性とドメインバインディング

4. ユーザー体験と管理の負担

パスワード - 複雑な文字列を覚え、定期的に変更し、サービスごとに使い分ける管理コストが発生 - 忘却によるリセット手間が発生 - 使い回しによるリスト型攻撃の脆弱性

パスキー - システムが自動生成するため、ユーザーは何も覚える必要がない - スマートフォンのロックを解除する操作（生体認証やPIN）だけで数秒でログイン完了 - サイトごとに固有の鍵が生成されるため、1サイトの問題が他サイトに波及しない

まとめ

パスワードが「盗まれる可能性のある共通の合言葉」であるのに対し、パスキーは「その人しか持っていないデバイスと身体的特徴を鍵にする、盗むことが不可能なデジタル証明書」と言える。

関連

• パスキーの認証の仕組み
• パスキーのフィッシング耐性とドメインバインディング
• 同期型・デバイス固定型パスキーの比較

引用元: NotebookLM