パスキー|物理キー|2段階認証が不要な場合|安全性|アプリ|SMS|


 googleのアカウントに急にログインが出来なくなって、何度か困った目に遭っていましたが今時は殆どなくなりました。
しかし、パスキーというものが勧められてきているので、切り替えるとまた大変なのでは・・と、少し不安になり。。
気になったので調べたこと・事例を備忘録として残します。

私と同じくあまり詳しくない人に参考になりましたら幸いです。

 

1: パスキー設定と物理キーで悩んだこと|どちらか

 出来れば、2つの併用すればセキュリティ強つよだと思いますが、ややこしそうで考えただけで面倒です・・。
今まで通りパスワードも使えなければ「ログインできない」と、しょっちゅう困っていそうです。
まだ、titanなどの物理キーで、普段のログインに加えて差し込むだけで使えるというのが実行し易い気がします。
登録は便利だが壊したら詰むでは、ユーザは安心して使えない
という問題が気になりますけど。。

 物理キーも今までに結構悩んで何度か調べていますけど、「どちら」と言えばパスキー(物理ではない)にしている人が多そうですね。
沢山の個人の経験談が出てきました。(やっぱり、お金がかからないから・・)

しかし、稀に深く考えている人がいて、パスワード認証の方が現状、無理矢理には奪われにくいというところがあるという話です。
指紋や顔認証のデータだと誘拐されると無理に手などを抑えられ一瞬で読み取られる可能性があるかもしれません。
顔写真データも画像ファイルで悪用されないのかと思ってしまいますけど。。。
(じゃあ、声や静脈などの認証が以前は色々あったので、そういう生体認証の組み合わせも色々欲しいです)
しかし、「一瞬で読み取られる可能性」は、数字や記号でもデータにアクセス出来れば同じ・・
どちらが安全か難しいです。。
頭を使って情報を取得されるのも怖いですけど、乱暴されるのも嫌ですね。。
iPhone/Android や Windows Hello などの機能は、生体情報が「デバイスの中に保存」されており、外には出ないようになっている。iPhone を買い直しても、指紋や顔の登録は同期されない。PIN を買うたびに設定するように、買うたびに顔と指紋を登録する必要があるのはこのためだ。
生体認証はローカルに閉じ外には出ないというのは、ベンダの説明だ。Apple や Google や MS が、それらの情報をこっそりサーバに収集している可能性を疑うことも可能だ。疑わしいなら登録せずに PIN だけにすれば良い。
 物理キーが安心だと思っていましたが、盗まれる・壊れる心配とも変わりないみたいです。
パスキーは逆に本人に入力させたりと手間がかかるかもしれません。

 

2: 2段階認証とは|多要素認証(MFA)

 SMS(ショートメッセージ)が漏洩・スマホの乗っ取りなどされていたら2段階認証(2FA)が逆に危険だったり、
1回目のログインしたページには重要な個人情報が何もなくて不要な場合もあります。
例を挙げると・・楽天だと、「パスワード変更」「支払方法の登録」などの機密情報では2回目のログインがあり、
更にクレジットカード(楽天カード)情報のページは第2暗証番号がありました。
「2段階認証を何故しないのか・・」と、ヤキモキしていましたが、
後から考えると必要なところには独自のセキュリティが行われていました。
2FA(2段階~)で逆にログインできないと困る人が大勢いそうで省いている会社もあるでしょうけど・・、
後はそういう場合のセキュリティでしょうけど、フィンガープリント採取がされているところがあります。
 2段階認証とは、頑なに採用しない会社もありますが、その会社は漏洩などのニュースが全くなかったりするので、
もしかしたら2FA認証には「あまり意味がない」ということは本当なのかも知れません。。

但し、多要素認証(MFA)は必要かと思います。
「信頼できるiphone」などで「OK」と、タップしたりの認証をしますが。
本体を盗まれて勝手にログインされたり、乗っ取りをされてもこの様なログイン方法が必須になっていれば頼もしい限り。
犯罪に巻き込まれて誘拐されたりスマホを盗まれても、スマホ勝手に使おうとしたら他の端末に表示されるという。
お子さんなら、家族のスマホとペアリングしていると思われますけど。
 しかし、面倒なので「アプリのダウンロード」の時に、設定でいちいちパスワード入力(ログイン)する様になっていないし
確認しないと出来ていないかも。。  
そういえば、たまに、「知らない間にインスタのアプリ入ってた」とか聞きますけど・・
そういうの聞くと怖くなって設定したりします。でも、その人は面倒なので直ぐに外したりしています。
誤動作(寝惚けて押した)とか、踏んづけた可能性もあります。

3: アプリ::authenticator|オフラインで使う

 銀行でも新規で口座を開くときにAuthenticatorみたいなスマホアプリ(銀行のオリジナルなど)を勧められます。
しかしながら、同じスマホに銀行アプリとパスワードアプリが同居しているのが不安で仕方がないです。
(同じかごに卵を入れる・・とか何とかいう状態)
その為、直ぐにアンインストールしたり、使う時だけDLしたりしました。

TOTP (Time-based One-Time Password)

現在は、古いスマホをオフラインでauthenticatorを入れて、
確かアカウントも削除した状態でパスワード生成器(トークン)の様に使っていますが・・。
普通にトークンであれば無料(再配布は2000円程度)なので、古いとはいえスマホの用途としては勿体ない気がします。
(銀行は何故か物理トークンを一切説明せず、アプリのインストールを誘導してきました。
目の前でインストールしなくてはならない雰囲気の圧があったので、トークンという物がなくなったのかと思いながら従ってしまいましたけど。)

 TOTP (Time-based One-Time Password)について。
困ったことは、wifiに繋いでいないせいか、たまに時間が少しだけずれてしまいます。
タイミングが悪いと、番号はどう見ても合っているのに認証に失敗します。電源を落として暫くしてから動かすと時計の同期が成功していました。
いつの間にか、「wifi接続」というポップアップも出てこなくなりました。
これでも、本当に安全なのか分からなくて心配になります。

 

4: アプリケーション固有のパスワード

 以下は以前の困った話ですが、こういうのもあったという事例の記録です。
パスキーでは便利になったのか検証したいので置いておこうと思います。

 google の アカウントに 急にログインが出来なくなって、何度も 困った目に遭っていましたが今時は殆どなくなりました。

 以前スマホでgoogleにログイン出来ない時の原因 

  • ・SIMカード の 入れ替え
  • ・電源が落ちてしまった
  • ・PCで パスワードを変更した
  • ・ログアウト を した

これらの事が 起こった後、

スマホの パスワード入力画面に 「いつもの パスワード」 を入力しても、

まだ「パスワード入力画面」のまま、という事があります。

2段階認証 を 設定している場合の対処法は、

「アプリケーション固有のパスワード 生成」 

  

5: 参考・終わり

 パスキーに対応されている会社・サービスは以下の通りです。

  • Google(YouTube、Gmailなど)ーーグーグルでログインできるサービス使うと良いのかも。。 
  •  Apple(iCloudなど)ーーアップルでログインできるサービス使うと良いのかも。。 
  •  Amazon 
  •  PayPay 
  •  Uber 
  • はてなブログ 
  • メルカリ
  • 楽天(2026~?)
  •  DocuSign
 アップデート、再起動、再ログイン、再設定、アンインストールなどで改善されることが多そうです。そこは古今東西今も昔も変わらず。。

参考:

blog.lufia.orghttps://blog.lufia.org › entry › 2019 › 09 › 03 › 224652 Titan Security Keyを使ってみた - Plan 9とGo言語のブログ
https://infrontsecurity.net › blogs › column › mfa 多要素認証の必須化、証券会社で加速──急増する不正 ...infrontsecurity.net
googleアカウントをパスキー認証にしたほうがいいと言っている動画
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11316414971
googleのログインにパスキーを設定しました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11316414971
今朝からGoogleアカウントのパスキーがなぜか使えないです。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11316414971 ---対処法が沢山あった
notehttps://note.com › info › n › nfb26ecf80bfd Googleアカウントでnoteにログインできます
spiral-platform.co.jp https://www.spiral-platform.co.jp › article › member › 472 二段階認証の安全性は問題ないのか?セキュリティ観点での ...
利益 https://rieki.awaisora.com › 98ad9645-2ed5-4d3b-af63-450346811b1e 楽天証券のセキュリティ対策:2段階認証の有無と不正アクセス ...

NTTコムウェア https://www.nttcom.co.jp › dscb › column › detail83 › index.html 2段階認証とは?種類やメリット・デメリットとセキュリティを ...
Yahooニュース https://news.yahoo.co.jp › articles › 87ce6ca18466905a2a90dd6cc64d63bd2e7e2601 Sms認証は危険? Smsを利用した二要素認証が減少傾向に ...

Capy https://corp.capy.me › blog › id-access-management › 2022 › 06 › two-factor-authentication 2段階認証の問題点とは?安全性やコスト・利便性の課題と解決 ...
日々の生活をがんばるブログ https://okometsubulog.hatenablog.com › entry › 2025 › 03 › 30 › 070000 【セキュリティ】現状二段階認証してもほぼ無意味で泣ける ...
blog.jxck.iohttps://blog.jxck.io › entries › 2025-07-09 › load-to-passkey-2.html Passkey への道 #2: 2FA/TOTP - blog.jxck.io

コメント

コメントを投稿

読んで頂きありがとうございます。
お気軽にコメントして頂けると嬉しいです。
返事は90%くらいお返ししますが、めちゃくちゃ遅い場合があります。
気長にお待ちください。

このブログの人気の投稿

tuta:::暗号化メールの登録方法|ブロックの原因|複数アカウント|エイリアス||

イメージ
 2025年、新規登録は格段にスムーズになっています。しかし、うまくいかない時は以下の方法が確実です。 複数のアカウントは、有料の契約であれば作成は出来るが無料アカウントは1人につき1つだけに限られているとの事。  後日談:2024年4月頃に、2つ目のアカウントを登録しようとしたら・・普通に申込フォームでは出来ませんでした!! アカウントの作り難さは全く変わっていない様子です!なので、以下は参考になると思います。  ドイツ製の暗号化メールtuta(ツタ・tutanota・ツタノタ・トゥータノータ)メールは 「全文検索」出来るとのことで(protonmail でも出来る様になりました。 は出来ない、又は有料(高額なプラン)かもしれません) 使ってみたくてスマホから登録してみましたが。(アプリで登録しようとしてもブラウザに飛びました。直近の情報) 色々問題もあったのですが、ブロックも解決したのでその方法と、 登録する為に調べたこと・少し使って気になった事を備忘録として残します。。 (申し訳ないですが・・この記事には細かい手順は参考程度しかありませんが。。) 私と同じくあまり詳しくない人に・・、参考になりましたら幸いです。 目次    1: 新規登録でブロックされた・確認・原因    2: 複数アカウント・複数アドレス(エイリアス)は?  複数アカウントは可能?  エイリアスメール(複数アドレス)の方法  複数のアドレスを統合する方法   3: 検索した結果:解決方法    4: 取得できるメールアドレス(ドメイン)一覧    5: 料金プラン・参考・終わり       1: 新規登録でブロックされた・確認・原因  後日追記:おそらく、運営までメールしないことには新規の登録は 出来ないみたいでした。 す 。かくいう自分は、メールをして数時間後に開通出来ました。 できた方法は、当初は他の記事でしたが、ブログ引っ越し中で重複してしまい そっち(他の記事)は下書きに戻し、重複にならない様にこの記事にまとめました。 自分が成功した一つの方法は、簡単に言うと運営の会社へメールでお願いすれば ...
Read more »

protonmail::メールアドレス変更|複数アカウント|届かない原因|パスワード忘れ||

イメージ
 複数アカウントは運営に問い合わせたこともあり、Q&Aなども何度か確認していますが、何年も前から禁止されてないので可能です。けど、有料アカウントでエイリアス使う方が安全度が増すのは確実で、使い捨てメールがいくつでも作れます。子会社のSimpleLoginというエイリアスメールも沢山作れて便利です。 あと、さっき気付いたのですが、2024年9月の時点では「友達を紹介」して、最大US$90のクレジットが付与されるそうです。 これも有料アカウントだから? (以前、紹介したことあったんですけど、その時は無料で使っていたせいか、こんな制度は数年間で一度もなかった・・) 随分と調べたのでまとめて覚書備忘録を残しています。 目次    1: protonmailのメールアドレス変更|新しいデバイスの追加・機種変      2: 有料プラン|支払い方法について|サイトのヘルプ 2-1 有料プラン 2-2 支払い方法について     3: アカウント2つの使用感|何台まで|複数の設定|ログイン失敗    3-1 2つのアカウントを使っての使用感(複数アカウント) 3-2 何台まで使える?複数のデバイスの設定 3-3 ログインで失敗|パスワードリセット   4: protonmail で、メール一斉配信で届かない場合|VPNの場合と比較 4-1 protonmail で、メール一斉配信した場合 4-2 VPNの場合と比較   5: 全文検索・参考・終わり       1: protonmailのメールアドレス変更|新しいデバイスの追加・機種変  protonmailのメールアドレス変更をしたいと思ったのですが・・なんかややこしそうだと思って、変更しないと困ることも何もなかったので、ずっと後回しにしていました。 時間があった時、その方法について調べましたが未だによく分からないので、記事に残したいと思います。 散々、設定を弄ったりヘルプを見た感じでは、公式な方法はありませんでした。 なので、もう一つアドレスを作ってしまう(...
Read more »

フォートナイトのアカウント::ブロック|ミュートの方法|みまもり設定のリセット|

イメージ
 Fortniteでフレンドから誘われても気分が乗らない・一人でプレイしたい時などに、人間関係もあって断るのが難しい場合の話です。 一時的に「ブロックは?」「ミュートは?」とか時々話していたのですが、 「そこまでしたくない」「バレる」とか言われて、本人からは何度も却下されましたけど。。。 相手が「嫌い」という訳ではなく、「良い子だったんだけどな~」と悩んでいたので フォートナイトは設定のメニューが少ないのかな?と思っていました。 (当人はLINE(ライン)とかは感心するほど設定や使い方を色々と知っていて、 逆に裏技の様な方法を教えてくれるほど使いこなしているので、分からないとは全然思えなくて) そこで、パソコン版の画面ならば、何かあるのではないかと調べました。 それにしても、ゲーム中にケンカとかも結構あるみたいなので「ブロック」「ミュート」は必要不可欠な筈なのですが。。 うちのうるさい子供は「死体打ち」「通報」と、物騒な言葉でキーキー言っていましたけど。。 引き続き、良い方法があればと調査中です。  フォートナイトはリニューアルというのか、画面のデザインやメニューも結構変わってしまったらしく、知恵袋を見ていても「古い情報しかない」という意見も多かったので、今の調べた中では新しい方法のみ(2024年秋の時点)覚え書きを置いておきます。 目次   1: オンラインステータス|離席 2: 設定|ソーシャル通知の表示をオフ(と、裏技?) 3: epicgamesの公式サイトのブロック・ミュート方法 4: 名前変更後、フレンドを切るという方法 5: みまもり設定のリセット|終わり|参考サイト:  1: オンラインステータス|離席  オンラインステータスを「オフライン」表示にする  離席状態だとオフラインと同じような見え方になるそうです。 「基本中の基本」な方法だそうです。ほかの方法は一応、分けました。 2: 設定|ソーシャル通知の表示をオフ(と、裏技?)  設定 > アカウント プライバシー > ソーシャル通知を表示をオフ この設定「ソーシャル通知表示をオフ」と、 上記の「1.離席」 を同時に2つ行う(以下「オフライン表示★」)とオフライン表示に...
Read more »