ゲームにログインしようとして、「パスワードなんやったっけ?」となる。

大人でもよくあります。子どもならなおさらです。短いパスワードは覚えやすいけれど危ない。長くすると忘れる。サービスごとに変えたほうがいいと言われるけれど、全部覚えるのはほぼ修行です。最終的に、紙に書く、同じものを使い回す、誕生日を混ぜる。気持ちは分かります。分かりますが、セキュリティ担当の胃は少し痛みます。

そこで最近広がっているのが「パスキー」です。英国のNCSC(National Cyber Security Centre)も2026年4月、パスキーを消費者向けログインの第一候補にすべきだと説明しています。

パスキーとは何なのか?

たとえば、スマホで買い物サイトにログインするとします。

パスワードの場合は、メールアドレスとパスワードを入力します。もし偽物のログイン画面に入力してしまうと、そのパスワードを相手に渡してしまいます。同じパスワードをゲームやSNSでも使っていたら、被害が横に広がります。1本の合鍵を、家・自転車・金庫・秘密基地で使っているようなものです。秘密基地、急に不安です。

パスキーの場合は、パスワードを入力しません。ログイン画面で「パスキーでログイン」を選び、スマホの顔認証、指紋認証、またはPINで本人確認します。するとスマホの中にある専用の鍵が、「この人は本人です」とサイトに証明します。

ここで大事なのは、サイトにパスワードそのものを渡していないことです。サービスごとに別の鍵が使われるので、あるサイトの情報が漏れても、同じ秘密を別サイトで使い回されにくくなります。

パスワードとパスキーのログインの違い
パスワードは覚えて渡すもの。パスキーは端末の中の鍵で本人確認するものです。

パスワードとの一番大きな違い

パスワードは「知っていること」で本人確認します。合言葉を知っている人なら入れる、という考え方です。

パスキーは「持っている端末」と「本人確認」を組み合わせます。スマホやパソコンの中にある秘密の鍵を使い、顔認証や指紋認証やPINでその端末の持ち主かを確認します。

もう少し身近に言うと、パスワードは「合言葉を言う」方式です。パスキーは「自分専用の鍵を持っていて、鍵穴の前で本人確認する」方式です。

合言葉は、聞かれたら漏れます。メモを見られても漏れます。偽の受付に言ってしまっても漏れます。でも鍵そのものを毎回相手に渡さない仕組みなら、盗まれ方が変わります。ここが大きな違いです。

なぜパスキーのほうが良いのか

理由は大きく3つあります。

1つ目は、覚える必要がほとんどないことです。子どもが長い文字列を暗記する必要はありません。スマホのロックを解除する感覚でログインできます。もちろん端末のロックは大事ですが、「パスワードを忘れたので全部同じにする」よりはずっと健全です。

2つ目は、使い回しが起きにくいことです。パスキーはサービスごとに別の鍵を使います。買い物サイト、ゲーム、学校アカウントで同じ秘密を使い回すわけではありません。1つの鍵で全部開く状態を避けられます。

3つ目は、フィッシングに強いことです。偽物のログイン画面にパスワードを入力してしまうと、その文字列は相手に渡ります。一方、パスキーは本来のサイトと結びついた仕組みなので、偽サイトに同じように秘密を渡しにくいとされています。

もちろん、パスキーなら絶対安全、という話ではありません。スマホを貸しっぱなしにする、端末のロックを弱くする、復旧方法を知らない、という問題は残ります。立派な鍵を持っていても、玄関を開けたまま寝たら意味がない。セキュリティはだいたい生活態度も見ています。こわいですね。

子どもに教えたいのは、暗記より仕組み

キノコード的に大事だと思うのは、「安全なパスワードを作りなさい」で終わらせないことです。

これからの子どもたちは、パスワード、2段階認証、パスキー、QRコードログイン、学校アカウント、ゲームアカウントを当たり前に使います。そのとき必要なのは、難しい暗号用語を先に覚えることではありません。

「同じ合言葉をあちこちで使うと危ない」

「本物っぽい偽サイトがある」

「端末の中にしかない鍵は、文字列のパスワードとは盗まれ方が違う」

こういう構造を、生活の言葉で理解することです。

ログインを題材に入力と認証を学ぶ流れ
ログインの仕組みは、入力・判定・安全な保存を考える練習になります。

プログラミング学習ともつながっている

ログインは、プログラミングの入口としても良い題材です。入力、認証、条件分岐、データの保存、エラー表示。Webアプリの基本が詰まっています。

最初から本物の認証システムを作らせる必要はありません。「正しいカードを選ぶと入れる」「間違えるともう一度聞かれる」くらいで十分です。そこから、「では本物のサービスでは、秘密をどう守るべきか?」へ進めます。

便利さと安全さは、いつもセットで設計されています。パスキーは、そのことを子どもにも説明しやすい題材です。

まとめ

パスワードは、合言葉を覚えて入力する方式です。合言葉なので、盗まれたり、使い回されたり、偽サイトに入力してしまったりします。

パスキーは、端末の中にあるサービス専用の鍵で本人確認する方式です。覚える負担を減らし、使い回しを避け、フィッシングにも強くなります。

子どもにとって大事なのは、「パスキーという名前を覚えること」ではありません。なぜパスワードが危ないのか。なぜ同じものを使い回してはいけないのか。なぜ端末のロックが大事なのか。そこまで分かると、ログイン画面はただの入口ではなく、デジタル社会の鍵のかけ方を学ぶ教材になります。

参考

NCSC: Leave passwords in the past - passkeys are the future
Computer Weekly: NCSC heralds end of passwords
Biometric Update: Microsoft expands passkey support