ニュース

パスキー対応のAndroid API「Credential Manager」が一般提供開始

早い、簡単、安全な次世代オンライン認証。「1Password」や「Enpass」での同期も可

パスキー対応のAndroid API「Credential Manager」が一般提供開始

 米Googleは11月1日(現地時間)、「Credential Manager」の一般公開を開始する。これはAndroidのJetpack APIの1つで、ユーザー名(ID)とパスワードの組み合わせ、パスキー、「Sign-in with Google」などのフェデレーションサインインといったさまざまな認証システムを単一のAPIでサポートしたものだ。

 アプリやWebサイトでは、IDとパスワードの組み合わせを用いた認証がいまだ広く用いられている。しかし、パスワードを覚えておくのは大変だ。ついつい簡単なものを使いまわして特定されたり、フィッシングサイトで盗まれたり、Webサイトから流出してアンダーグラウンドで共有されたりと、その安全性はかなり低下してしまっている。メールリンクやワンタイムパスワードによる認証も普及しつつあるが、慣れないユーザーにとっては難しく、開発者にとっても複数のサインイン方式をサポートするのは大きな負担となる。

 そこで「Android 14」からは「Credential Manager」(androidx.credentials)というAPIが提供されており、さまざまな認証方式を統一的に扱えるようになっている。なかでも、「パスキー」(passkeys)を統合している点には注目したい。

 「パスキー」は次世代オンライン認証の決定版として期待されている技術で、以下の特徴を備える。

  • オープン:Web標準「WebAuthn」に準拠し、公開鍵暗号方式を使用してユーザーを認証。パスワードは不要
  • 安全:パスワードがないため盗まれる心配がなく、フィッシングに強い
  • 手軽:パスキーはデバイスの生体認証システムで利用できる。顔や指紋、PINなど、スマートフォンのロックを解除するのと同じ簡単さ
  • 早い:ユーザー名やパスワードを手入力したり、SMSからワンタイムコードをコピーペーストしたり、メールの受信箱にあるリンクをタップしたりする必要はない。従来の方法に比べ、サインインにかかる時間が50%短縮できるという。操作ミスも少なくなる

 パスキーはすでに「Uber」や「Whatsapp」などでサポートされており、今後普及が進むものと思われる。

 とはいえ、パスワード認証を用いたアプリやサービスはまだまだ多い。パスキーを使った個人アカウントと、パスワード認証の共有アカウントを使い分けたいといったニーズもあるだろう。そこで「Credential Manager」はパスワードとパスキーが混在したシナリオにも対応。認証方式の違いを意識することなく、使いたいアカウントをタップするだけでサインインできるように設計されている。

パスワードのアカウントとパスキーのアカウント。使いたい方をタップするだけ

 なお、「パスキー」はデバイス間での同期もサポートされている。手元のスマートフォンでパスキーを作成すれば、それが自動で他のデバイスにも同期されるため、何度もパスキーを作る必要はない。

 Androidの場合、同期には初期状態で「Google アカウント」が用いられる。しかし、これもカスタマイズが可能。すでに「1Password」や「Enpass」といったパスワード管理サービス(認証情報プロバイダー)が「Credential Manager」と統合されており、好きなものを選べる。

「Google アカウント」だけでなく「1Password」や「Enpass」といったパスワード管理サービスを利用することもできる