40代Gが早期リタイアしたブログ

早期リタイアゲイです

トップ > お金 > パスキー、楽天証券とSBI証券がやっと導入してくださった件(遅杉)

パスキー、楽天証券とSBI証券がやっと導入してくださった件(遅杉)

お金 ガジェット

広告

待望の「パスキー認証」が、楽天証券SBI証券 にやっとこさ導入されました。

不正アクセスで炎上して重い腰を上げたみたい。

これでやっと謎のログイン儀式から解放されます。*1

 

当ブログではこれまでもパスキー早よ!と気を揉んできました。

hanjukuajitama.hatenablog.com

 

旧態依然で定評のあるマネックス証券ですが、ログイン時のセキュリティはかなりマシでした。

hanjukuajitama.hatenablog.com

 

Q. パスキーとは?

A. Google Search:パスキーとは

 

公開鍵、秘密鍵がーという話は専門でもないし、詳しくもないので。

ユーザー側から見える操作面だけおさらいすると

  • 対応サイトで「パスキーでログイン」を選択して
  • パスキーを保存してある端末を使い、生体情報等で本人確認
  • OKならログイン

というシンプルかつ強固な認証方法です。

現状、悪い人が偽メール、偽サイト経由で ID, パスワード を盗み出せば悪いことし放題です。が、パスキーは容易に盗めません。かなり安全らしい。 *2

<完>

 

パスキー何それ?美味しいの?状態だった素人の私でも少し理解が進んできました。そんなレベルの私が触ってみての感想を多少。

以下、iPhoneユーザーでパソコンはMacを使っている前提です。

 

<動作確認編> 楽天証券SBI証券も期待通りの動作をしてくれました

楽天証券SBI証券でパスキーによるログインを一通り試してみました。

パスキー保存場所はOS標準「パスワード」アプリでも、サードパーティー製管理アプリ(Bitwarden等)のどちらでも可能でした。

簡単すぎて拍子抜け。ネットではトラブル多発みたいな話も聞きますが。うちは問題なし。

 

<基本知識> ユーザー側で意識するのは、パスキーがどの端末に保存してあるか?

本来的には、個別の端末に保存されます。一般的にはスマホが多そう。

例:楽天証券には以下の注意事項があります。端末を交換する場合は証券サイトでパスキーを削除し、機種変更した新しい端末でパスキーを作り直すことと。

 

<基本編> iPhonesafari で証券サイトを開く

これが正攻法でシンプルでしょう。

(パスキー設定済の状態で)楽天証券「パスキーでログイン」をタップすると指紋認証や顔認証を促され、実行するとログイン完了!となります。顔パス状態。

99%の人はここで終了。以下の面倒ごとは読む必要なし。

 

<応用編>パスキー、複数端末で共有したいよね

スマホはパスキーで顔パス。だけど 他端末では画面に表示された2次元バーコードをパスキーが保存されているスマホで読みこめって?めんどくさ。

わかります。でも大丈夫、そうiPhoneならね。 *3

同じApple IDでログインしている端末ならパスキー情報が自動的に共有されています。

これは従来からある「iCloudキーチェーン」機能。

例:iPhoneで作ったパスキーが、iPad でも Macでも使える。スマホで読み込む手間なし。

 

便利な反面、セキュリティ的にはマイナス

注意は必要。

例:iPhoneはガッチリ保護されていたとしても、ザルな端末があったら台無しです。自宅のMacは家族共用だったりしませんか。端末が増えるほど穴も増えます。

 

楽天証券は注意事項に掲げています。

  • 楽天証券のパスキーは、セキュリティ上の観点から、原則として1つのアカウントにつき、1つのパスキーを、1つのスマートフォン(端末)に作成することを推奨しております。
  • 複数デバイスへの同期: クラウドApple IDGoogle アカウント、Microsoft アカウントなど)にパスキーを保存している場合は、そのアカウントへのログイン情報が漏洩すると、パスキーも不正利用される可能性があります。

試したところパスキーは1つしか作成できない仕様でした。他社比かなり厳しい運用。パスキーのクラウド同期を利用者へ注意喚起しています。

利用者自身がセキュリティと手間を天秤にかけて判断していく必要がありそうです。

 

<応用編> OS標準以外のブラウザを使用している場合

例:safari はオワコン。俺は Chrome を使用していくぜ!

パスキーがパスワードアプリにあり、使用ブラウザがChromeの場合。二次元バーコードが表示され「パスキーの保存された端末で読み込め」と表示されます。

ブラウザがパスキー情報にアクセスできないとこうなるようです。まあ指示通り、スマホ開いて読み込みゃいいのですが。ちょいと面倒ではある。

解決法

Chrome機能拡張で「iCloudパスワード」を導入したところ、Chromeがパスキー情報を読めるようになったらしく、iPhoneを持ち出すまでもなくMac上で生体認証できました。

留意事項

  • ブラウザ機能拡張を挟む分、セキュリティ的にマイナス要素ではあります。

 

<応用編> OS標準以外のパスキー管理アプリ(Bitwarden等)を使用している場合

safariChrome に Bitwarden のブラウザ機能拡張が入っていれば生体認証してください表示に進めました。スマホを介さずOK。完璧。

ID, パスワードは Bitwarden に記録、パスキーはパスワードアプリに記録、というのもありです。

留意事項

  • 社外アプリ+ブラウザ拡張のセキュリティリスクを負う。*4
  • 選択肢があるのはいいことだけど複雑でもある。先発のデファクトスタンダード vs. 後発のOS標準。どっちを取る?

 

まぁ、細けぇことはいいんだよ(AA略

とにかくIDとパスワードで本人確認する方法はさっさと終わらせないといけない。

簡単に盗めるIDパスワード方式はザルすぎる。 *5

見え見えの詐欺サイト誘導でも怪しいと気付けない人が一定数出てくる。よりベターな方策がある以上、旧世紀の方式に止まる必要はありません。

明らかな偽メールに引っかかっている情弱を笑っているあなた。次の被害者はあなたかもしれません(🫵ビシッ)*6

 

ブログランキング・にほんブログ村へ にほんブログ村 株ブログ 配当・配当金へ にほんブログ村 ライフスタイルブログ セミリタイア生活へ

*1:MoneyForward ME は対応してくれるのだろうか。→ 即日対応してくださいました。パスキー設定してもMF使えます。神対応

*2:NHKクローズアップ現代で話題になりましたように、被害者本人が原因なことも。女「何もしてないのにー😡」→自分でID・パスワード垂れ流してました。もろに古典的フィッシング。

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | ニュース記事集 | 相次ぐ証券口座乗っ取り 被害者のパソコン解析で分かったこと 2025/05/20 (NHK)

*3:アップル好きを馬鹿にする煽り文句として「そう、iPhoneならね」というネットミームが用いられますが。このフレーズ、実際にCMで使われたことはないそうです

*4:AppleよりBitwardenの方が堅牢そうだけど

*5:偽サイトでは発動しない自動入力アプリを使っていれば多少マシではありますが。

*6:私かもしれません