スマホを落としたら終わり

自分はパスワードの管理を「1Password」というアプリに一任しているのですが、
必ずしもこれだけで一元管理できているわけではありません。
先日、アプリの認証をしようとしたら「パスキー」の使用を促されたので、
特に何も考えずに認証してしまったのですが、
本来であればなるべく1Passwordで管理するのがベターだと思っています。

パスキーはiOS16から搭載されているiPhoneの新機能で、
Apple製品以外でも名前を変えて似たような機能がすでに存在しています。
いわゆるパスワードレス認証というやつで、FIDOという規格を利用したものです。
仕組みについては、LinuxでSSH接続をしたことがある人ならすぐにわかると思います。
端末とサーバーそれぞれにペアとなる秘密鍵を発行して保存しておいて、
生体認証でそれにアクセスして鍵同士を突き合わせているわけですね。
（あんまりよく調べていないので間違っていたらすみません）

秘密鍵そのものはいわゆるパスワードとは比べものにならないくらい強固なので、
これを総当たりや辞書攻撃などの古典的な方法でハッキングするのはまず不可能です。
しかもパスワードを覚える必要もないということで、セキュリティ的には非常に優れています。
ただ、欠点としては秘密鍵はスマホに保存されていて簡単に移動できないので、
認証には必ず手元にスマホが必要であるということです。
また、その際共有パソコンなどでログインする場合は複雑な手順を踏まなければなりません。
何よりも「スマホを落としたら終わり」というリスクは常にあります。

まあでも、考えてみればFIDOキーだって家の鍵だって落としたら終わりなわけで、
スマホの重要度がそれに匹敵するようになっただけと考えれば自然なのかも。
ただ、家の鍵などと違うのはバッテリーが切れると使い物にならないという点ですね。
なので、物理的に紛失することが無くてもバッテリー切れで困るというケースは十分あり得ます。

昨今は電子マネーもポイントカードも、
個人情報もパスワードも何でもかんでもスマホの中に入れるようになってきていますが、
重要情報資産をスマホに一極集中することが必ずしも正しいと言えるのかはなんとも言えません。
まあ、スマホで一元管理できればそれが便利なのは間違いないのは確かですけど。
冒頭に挙げた1Passwordも一元管理できているからこそ便利なわけで、
パスワードの保存場所を分散してしまったらその分不便になることは避けられません。
この辺はリスクと利便性のシーソーゲームなのかもしれませんね。

とにかくスマホの重要性が右肩上がりなこの時代、盗難対策だけはしっかりしたいところです。
「iPhoneを探す」機能をiPhoneが無くても使えるようにしておくことは必須か。
となると、やっぱりそのためにスマートウォッチやサブスマホはあった方がいいのかも……？