(お断り:私はセキュリティの専門家ではないです。あくまでいち個人の意見としてお読みください)
ネット証券各社がパスキーに対応
SBI証券と楽天証券がパスキーに対応したという話を以前書きました。
従来のIDとパスワードによるログインと比較して、パスキーは便利なうえにセキュリティ的にも優れているため、ぜひ積極的に利用していきたいところです。
じゃあ以前までのパスワードはもう気にしなくてもいいのか?たとえば、「これまでめちゃくちゃ単純なパスワードを設定してしまっていたが、パスキーを有効にしていれば問題ないよね」とか「パスワード忘れてもいいよね」といえるのかというと、まだまだそういうわけにはいかないのが現状なようです。
SBI証券はパスキーが有効でもID/パスワードでログイン可能
パスキー認証の設定後も、ユーザネームとログインパスワードを使用してログインができます。この場合、ユーザーネームとログインパスワードに加えて、追加認証(多要素認証)が必要となります。(フィッシング詐欺等には十分ご注意ください)
(パスキー認証|SBI証券より引用)
ということで、SBI証券はパスキーを設定しても従来のパスワードログインは有効なままです。
なので、パスキーが有効であっても、たとえばパスワードが単純であれば不正アクセスのリスクは依然として高いといえそうです。多要素認証があるとはいえ、多要素認証も万能ではない(たとえばSIMスワップ攻撃なんてのもあったりする)ので、やはりパスワード自体も強固にしておくに越したことはないでしょう。
で、今後のセキュリティ機能強化のご案内|SBI証券によると、この点は2026年1月ごろに改善される予定とのことです。
2026年1月頃(予定)以降、ユーザーネーム・ログインパスワードによるWEBサイトへのログインを制御できる機能を導入いたします。
とのことなので、導入されたら私はパスワードログインを無効化する予定です。
楽天証券はパスワードが無効になる
楽天証券の場合、パスキーを有効にするとパスワードログイン自体ができなくなるようです。
パスキーを作成するとログインID、パスワードを利用したログインが不可となります。
(パスキーでのログイン方法を教えてください[FAQ90001283] | 楽天証券より引用)
ありがたいですね。ただし、パスキーを保存しているデバイスを紛失した場合などの理由でパスキーが利用できない場合に、今後も従来のID/パスワードが使用されるようです。手順としては以下です。
- 自動音声ダイヤルに連絡
- 自動音声ダイヤルによる認証後、一時的(30分間)にログインID、パスワードを利用したログインが可能になる
- ログインID、パスワード、絵文字認証によりログイン
これは仕方がないように思います。結局、パスワードを使う可能性はまだまだあるということです。
パスワードの管理も引き続き重要そう…
おそらく2026年1月頃に導入される予定のSBI証券のパスワード無効化機能も楽天証券と同様の仕組みになるのではないかと思います。
そうすると、パスキーを設定した後でもパスワード管理は依然として重要であることに変わりはないように思います。パスキーを使うと普段のログインは便利になる(普段から長ったらしいパスワードを使う必要がなくなる)し、フィッシングなどへのセキュリティも向上して嬉しいです。が、パスキーが利用できない場合に備えて強固なパスワードを設定、管理しておくことも引き続き重要そうです。
パスキーの再発行の仕組みは各社が試行錯誤しているような気がするので、今後は何かもっとうまいことできるようになるといいですね。