Googleアカウントのパスキーを作成した（macOSの場合）

• 「パスキー」は、Googleアカウントのログインが簡単で安全になる新しい方法です。
• パスキーは、デバイスでの生体認証を行うだけで作ることができます。
• パスキーを使用すると、指紋認証や顔認証などで素早くログインできるようになります。

YouTube動画でも話しています

1. パスキーの作成は簡単

Googleアカウントのパスキーを作るには、生体認証をするだけです。

パスキーを使ったログインもかんたんです。
アカウントを選択して、デバイスで生体認証するだけです。

特に入力することなく、スムーズにログインできました。

1.1. 普段通りにGoogleにログインすると…

私もパスキーを作ってみたいな。

具体的な手順を教えて。

まずは、通常通りブラウザからGoogleアカウントでログインします。

私はすでに2段階認証が有効なので、スマートフォンのGoogleアプリの通知が来ました¹。

1.2. 「ログインをシンプルに」という表示が出てきた

ログインが完了したタイミングで、「ログインをシンプルに」というお知らせが出て来ました。

ログインをシンプルに

パスキーを使用すると、指紋認証、顔認証、画面ロックで本人確認を行うことができます。

これがご自分のデバイスである場合のみ、パスキーを作成してください。
[詳細]

[後で]　[続行]

パスキーは任意なので、よくわからない場合は「後で」を押しても大丈夫です。

後でパスキーを追加したい場合は、セキュリティの設定からもできます（後述）。

1.3. パスキーの作成で「続行」してみた

せっかくなので、パスキーを作成してみます。

「続行」を押すと、macOSの生体認証メッセージが出てきました。

Touch IDを使用してサインインしますか？

“〜@gmail.com”のパスキーは、iCloudキーチェーンに保存され、お使いのすべてのデバイスで使用できます。

Touch IDで認証すると、パスキーの作成は完了です。

2. パスキーを使ってログインする

今度は実際にパスキーでログインできるか試してみよう。

パスキーを登録したデバイスでログインしようとすると、「パスキーを使って本人確認を行います」という表示が出てきます。
これは、Googleにはパスキーを登録したデバイスの識別情報が記録されているからです。

誘導に従って「次へ」ボタンを押して、生体認証をすればログイン完了です。

へー。

知り合いが来たら顔パスできる、みたいなものかぁ。

2.1. 従来のパスワードを使うこともできる

怪我をしてしまって指紋が使えないときとかは、どうすればいいの？

パスキーは任意です。
なので、従来のパスワードを使ってログインすることもできます。

「別の方法を試す」を押すと、ログイン方法を選択できます。

3. 結局、パスキーとは何を作ったことになるの？

パスキーの作成は拍子抜けするほど、あっという間だったね。

これって、指紋をパスワード代わりにGoogleアカウントに登録したことになるの？

そう見えますが、実は指紋データを登録しているわけではありません。

パスキーを作成すると、2つの電子データが生成されます。

• 秘密鍵：あなたのデバイスに安全に保存されます。
• 公開鍵：Google のサーバーに保存されます。

これらの鍵のペアが、あなたの新しい認証方法となります。
ログインする際、デバイスの秘密鍵を使って署名を作成し、サーバーの公開鍵で確認します。

「デバイス」っていうのは、パソコンとかスマートフォンとかのことだよね。

つまり、パスキーを作ることで、暗号技術を使った新しい認証の仕組みを、あなたのアカウントに追加したことになります。

3.1. 何のために指紋を確認したのか？（TPM）

じゃあ、指紋を確認したのは何のためなの？

それは、秘密鍵をデバイス内に厳重に保管するためです。

デバイス内には、生体認証などで保護された特別な保存領域があります。

いわば、「金庫」のようなものです。
秘密鍵を保存するため、この「金庫」を開けるのに生体認証をしたわけです。

つまり、あなたの指紋や顔は、この特別な金庫の「鍵」のようなものです。
金庫の中身（秘密鍵）を使うときも、毎回この「鍵」で開ける必要があります。

鍵を鍵付き金庫の中に保管するからややこしいね。

3.2. 秘密鍵ではなく「デジタル署名」を送る

また、金庫の中身（秘密鍵）を使うときも、毎回この「鍵」で開ける必要があります。
これが、パスキーでログインするときに生体認証がある理由です。

といっても中の秘密鍵そのものを送信するわけではありません。
機械の中では、ログインのときに秘密鍵を使って「デジタル署名」を作っています。

秘密鍵を使って「署名」を作成して、サーバーに送っています。

1. パスキーでのログインを始めると、サーバーは確認用データ（チャレンジ）を送ります。
2. デバイスは受け取ったチャレンジを秘密鍵で暗号化します。
3. 暗号化したデータを「デジタル署名」としてサーバーに送信します。
4. サーバーは、署名を保存されている公開鍵で復号化します。
5. 復号化されたデータが元のチャレンジと同じなら、正しいユーザーといえるわけです。

手計算でわかる、秘密鍵と公開鍵の「使い方」（RSA暗号）

「RSA暗号」は、数学的な性質を利用して秘密通信を可能にする暗号システムです。公開鍵と秘密鍵の組み合わせで、メッセージの暗号化と復号ができます。

chiilabo.com

3.3. iCloudキーチェーンには何が保存されたの？（メタデータ）

あと、パスキーをiCloudに保存したってどういうこと？

「iCloudキーチェーン」には、パスキーの秘密鍵や生体認証のデータが送られるわけではありません。

ここで送られるのは、「パスキーのメタデータ」です。

メタデータには、パスキーそのものではなく、どのGoogleアカウントにどのデバイスのパスキーが関連付けられているかという情報が記録されます。

このメタデータは、「パスキーの同期」に使われます。
自分の持つ別のデバイスでもパスキーを作ることができるようになるのです。

4. Googleアカウントのパスキーの設定

Googleアカウントのパスキーは、Googleアカウントの設定の「セキュリティ」で管理できます。

1. Googleにアクセスする
2. 画面右上のプロフィールアイコンを押す
3. 「Google アカウントを管理」を押す
4. 「セキュリティ」のタブを押す

セキュリティの「Googleにログインする方法」の中に「パスキーとセキュリティキー」という項目があります。

「自動的に作成されたパスキー」と「手動で作成したパスキー」が一覧になっています。

先ほど作成したパスキーの情報も追加されていました。

手動で追加したパスキーは、わかりやすい名前に編集したり、削除したりできます。

4.1. 設定からパスキーを追加する

パスキーを削除したり、まだ作成していない場合には、この画面でパスキーを作成できます。

1. Googleアカウントにログインして、「アカウントを管理」から「セキュリティ」を開き、「パスキーとセキュリティキー」を選択する
2. 「パスキーを作成」を押して、改めて「パスキーを作成」を押す

ここでも必要な操作はデバイスでの生体認証だけです。

意外とあっさり追加したり削除したりできるんだね。

4.2. iCloudキーチェーンに追加されているパスキーのメタデータ

iCloudキーチェーンに保存された情報はどうやって確認するの？

macOSの場合は、設定の「パスワード」に記録されています。

これは、macOSでサインインApple IDでiCloudキーチェーンと同期しているからです。

パスワード一覧から登録したアカウントを選ぶと、「パスキーオプション」という小項目が追加されていることがわかります。

パスキーオプション

パスキー 　〜に作成

パスキーは従来のパスワードよりも安全なサインイン方法です。パスキーはこのMacのTouch IDで保護されており、iCloudを使用してデバイス間で同期されます。

こちらもどうぞ。

「Googleでログイン」でアカウント管理はシンプルになる

「Googleでログイン」機能は、多くのウェブサイトで利用できる便利なサービスです。この機能を使用すると、ユーザーは新しいサービスに簡単に登録でき、パスワード管理の負担も軽減されます。セキュリティ面でも優れていますが、Googleアカウントの管理には十分注意する必要があります。

chiilabo.com

Googleアカウントの「2段階認証」できてる？

Googleアカウントには2段階認証の仕組みがあり、正しく設定すれば乗っ取られる心配はほとんどありません。2段階認証を設定するには、「Googleアカウントの管理」の「セキュリティ」から「Google にログインする方法」で確認と変更ができます。2つ目の認証方法には、Googleアプリによる通知やSMS、バックアップコードなど複数の選択肢があり、様々な状況に対応できるようになっています。Googleアカウントではありませんが、最近 私の身の回りでも、Twitterアカウントが...

chiilabo.com

Google Authenticatorとは？

「Google Authenticator」は、いろんなサービスでの二段階認証を補助するアプリです。認証アプリは、SMSを受信できない端末でも一時的な認証コードを取得できる仕組みです。 対応しているサービスなら、あらかじめ二段階認証の設定をしておくことでアカウントのセキュリティを向上できます。ユーザーは、事前に利用しているサービス（たとえば、Instagramなど）の設定で「二段階認証」を有効にし、表示されるQRコードをAuthenticatorに登録しておきます（共有シーク...

chiilabo.com

「パスキーのすゝめ」（仕組みと二要素認証との違い）

パスキーは、パスワードに代わる新しい認証方法で、秘密鍵と公開鍵のペアを使用します。この方法は、フィッシング攻撃に強く、生体認証と組み合わせることで高いセキュリティと利便性を提供します。パスキーは同期サービスを通じて複数のデバイスで使用でき、将来的にオンライン認証の標準となる可能性があります。

chiilabo.com

Face IDの反応が悪いので「もう一つの容姿をセットアップ」した（iPhone）

iPhoneのFace ID（顔認証）の反応があまり良くなくて、傾けたりしているとやっとロックが外れる状態でした。そういう認識精度なのかと諦めていたのですが、久しぶりにセットアップをやり直してみました。すると、スムーズにロック解除できるようになりました。もしかして、顔が老けたってこと？Face IDの「もう一つの容姿をセットアップ」iPhoneの「設定」アプリから「Face IDとパスコード」を選択します。大事な設定なので、変更には iPhoneの端末パスコードの入力が必要で...

chiilabo.com

死後のアカウント引き継ぎ方法と事前準備のポイント（デジタルレガシーのリクエストと管理）

スマートフォンのデータを亡くなった後に引き継ぐには、GoogleやAppleに直接申請する必要があります。事前準備として、Googleアカウントではアカウント無効化管理ツール、Apple IDでは故人アカウント管理連絡先の設定が有効です。もしものときに備えて、家族で話し合い、デジタル遺品の引き継ぎ方法を決めておくことが大切です。

chiilabo.com

機種変更の後でパスキーが必要になった（Googleパスキー）

スマートフォンの機種変更をしたら、パソコンの Googleアカウントからログアウトしていました。Googleアカウントにログインをしようとすると「パスキー」による認証を要求されました。どうも、新しいスマートフォンの初期設定のときに、Googleアカウントの「パスキー」を有効にしていたようです。「パスキー」は、登録したスマートフォンなどのロック解除の操作をするだけで、パスワードを入力できたことにする仕組みです。Googleアカウントがログアウトされていた 最近、スマートフォンの...

chiilabo.com

アイキャッチ

1. Googleアプリのほか、GmailやYouTubeもログイン通知を受け取れます。

QRコードを読み込むと、関連記事を確認できます。