最近は少し下火になったように思いますが、アマゾン（Amazon）をはじめ有名企業を騙るフィッシングメールがあとをたちません。大手通販であるアマゾンを利用している人は多いと思いますが、フィッシングにより偽サイトに誘導され、個人情報を盗まれてしまうと、アカウント情報はじめクレジットカードの悪用からとんでもない被害に繋がります。

最近、アマゾンにログインすると、パスキー利用のウィンドウが表示される場合があります。すでに二段階認証はしていますが、パスキー設定で更なるセキュリティ強化が図ることができます。

パスキーとは、従来のパスワード認証に代わる新しい認証方式で、指紋認証や顔認証といった生体認証、またはPINやパターン認証を使用してログインを行います。複雑で推測されづらいパスワードを設定することも不要となり、複数のサービスでパスワードを使い回すといった問題への対策にもなります。また、なりすましによるアカウントの不正ログインといったセキュリティリスクも回避できます。

パスキーはパスワードマネージャーの利用による管理が可能なので、同一アカウントでログインしているデバイス（パソコンやスマホなど）間で使用できるのも特徴であります。

また、Webサイトごとに設定した認証情報を用いるため、公式サイトに偽装したフィッシングサイトではログインができず安全性が高まります。そのため、フィッシング詐欺や不正ログインのリスクを軽減できます。

アマゾン公式サイトにログインすると、（私もそうでしたが）パスキー設定のウィンドウが表示される場合があり、指示に従って行えば簡単に設定できます。または、アマゾンにログイン後、「アカウントサービス」⇒「ログインとセキュリティ」⇒「パスキー」 横の「設定」を選択し、画面上の指示に従って設定を完了することが出来ます。

Windows11パソコン（デスクトップPC）にログインする場合、同じくセキュリティ強化のため、パスワードではなくPIN（暗証番号）でログインしています。スタート⇒設定⇒アカウント⇒サインインオプション⇒ PIN (Windows Hello）でパスキー設定が出来ます。このWindows11パソコン（デバイス）で開くサイトのパスキーは、すべてWindows Hello PINになります。アマゾンへのログインは以下の通りです。

(1). 携帯電話番またはメールアドレス入力の後 次に進む。

(2). 「ユーザーを確認しています」のウィンドウが現れますので、PIN（パスキー）入力でログインをします《パスワード入力は不要》。

私の場合、ニ段階認証設定のままなので、PIN（パスキー）入力後 続けてワンタイムパスワード入力画面が表示されます。スマホに届いた6桁のワンタイムパスワード入力の上、サインインでAmazonサイトが開きます。※パスキーを設定した場合、ニ段階認証は不要ですので、解除すればこのウィンドウは現れません。

ただ、手順 (2).「ユーザーを確認しています」のパスキー入力画面で、右下の「キャンセル」をクリックすると、以下のようにパスワード入力が可能である現状では、万一の漏洩防止ために二段階認証をそのまま併用しています。

少し専門的になりますが、パスキーは公開鍵と秘密鍵を用いる「公開鍵暗号方式」に基づいた認証方法を採用しています。サーバ側に保存されるのは公開鍵のみで、秘密鍵はユーザーのデバイス内に安全に保存されます。秘密鍵を使用して認証を行うには、生体認証（指紋認証や顔認証）、またはPINやパターンを使用して本人確認を行います。

仮に公開鍵が漏洩しても、秘密鍵がなければ認証は成立しません。また、秘密鍵はデバイスごとに異なるため、あるデバイスから秘密鍵が盗まれても、他のデバイスでは利用できません。そのため、不正アクセスのリスクを大幅に軽減できます。

PIN（パスキー）は、すでに Microsoft、Apple、Yahoo で利用していますが、今回、Amazon に追加設定しました。パスキーを利用できるサイトはまだ少なく、特にクレカを登録しているサイトは、セキュリティを高めるためニ段階認証を利用したり併用しています。

ちなみに、先に生体認証でロック解除しているスマホでパスキーを設定した場合、その後パソコンから対象サイト（アマゾンなど）にログインすると、PINやパスワード入力の代りに、QRコードが表示されます。そのQRコードを（パスキーを設定した）スマホで読み込むことで安全にログインできます。