Skip to content

パスキー紛失・盗難時の対応と復旧方法

デバイスを盗まれた場合の保護機能

1. ローカル認証による保護

パスキーを使用してログインするには、必ずデバイスのロック解除操作(生体認証・PIN・パターン等)が必要

  • 物理的なアクセスだけでは不十分:攻撃者がデバイスを手にしても、指紋・顔認証または特定のPINを突破しない限り、秘密鍵を使った認証プロセスを開始できない
  • 生体情報の非公開:認証に使用される生体情報はデバイス内のみで処理され、サーバー・外部に送信されない

2. 第三者による悪用の困難さ

  • 生体情報の変更制限:指紋・顔を登録してなりすまそうとしても、設定変更自体に元のパスコードが必要
  • リセット時の消去:デバイスを工場出荷時の状態にリセットすると、デバイス内に保存されたパスキーも同時に消去される

3. 紛失後の対策:連携の停止

別のデバイスから各サービスの管理画面にアクセスし、紛失したデバイスに関連付けられているパスキーを削除または連携停止する。これにより、万が一ロックを解除されても、そのデバイスからのログイン試行をサーバー側で拒否できる。

同期型パスキーの紛失時の復旧

同期型パスキーはクラウドを通じて複数デバイス間で共有されるため、デバイスを紛失してもクラウドサービスを通じて新しいデバイスに復元できる。同期データはE2EEで暗号化されており、復号には特定の「要素」が必要。

プロバイダー別の復旧方法

Googleパスワードマネージャー(Android/Chrome) 1. 新しいデバイスでGoogleアカウントにサインイン 2. 保存されたパスキーを復号・同期するために、以前使用していたデバイスの画面ロック(PIN・パスワード・パターン等)または「Googleパスワードマネージャー PIN」の入力が必要 3. Google自身も鍵の内容を知ることなく、安全に新しいデバイスへパスキーを復元

Apple iCloudキーチェーン(iOS/macOS) 1. 新しいAppleデバイスでApple IDにサインイン 2. iCloudキーチェーンから自動的に同期・復旧 3. 復旧時は他のデバイスでの承認・リカバリキー・リカバリ連絡先が利用される場合あり

Microsoftアカウント(Windows) 1. 「暗号化パスキー(Encryption Passkey)」というマスターキーの仕組みを採用 2. 新しいデバイスで同期を設定する際、この暗号化パスキー(スマートフォンやセキュリティキーに保管)を提供することで、他のすべてのパスキーが復元される

その他の復旧手段

クロスデバイス認証(QRコード) - 他にパスキーが保存されたデバイスを持っている場合、ログイン画面に表示されるQRコードを既存のデバイスでスキャンすることで、新しいデバイスでもログインしてパスキーを再登録できる

サービス側のリカバリ - すべてのデバイスを紛失し、クラウドからの復旧も困難な場合は、サービス提供者側が用意した従来のアカウント復旧手段(メールでのリセットリンク・SMS・バックアップコード等)を利用してログインし、パスキーを再登録する

デバイス固定型パスキーの場合

デバイス固定型パスキーはクラウドでの同期が不可のため、デバイスを紛失・破損すると予備の認証手段(セキュリティキーなど)を事前登録していない限りアクセス不能になる。高いセキュリティの代わりに、事前のバックアップ手段の登録が必須。→ 同期型・デバイス固定型パスキーの比較

関連

引用元: NotebookLM