パスキーを登録した端末をなくしたら、ログインできなくなりますか？

いいえ、多くの場合は大丈夫です。iPhone や Mac のパスキーは iCloud キーチェーン、Android は Google パスワードマネージャーで暗号化同期されるため、同じアカウントの別端末から復元できます。同期を使っていない端末ローカルのパスキーの場合は、そのサービスの予備の認証方法（メール確認など）で再登録します。大切なサービスでは、複数の端末にパスキーを登録しておくと安心です。

機種変更したら、パスキーは引き継げますか？

同じプラットフォーム間（iPhone から iPhone、Android から Android など）なら、クラウド同期でそのまま引き継げることが多いです。iPhone から Android のように異なるOSへ移る場合は同期されないため、新しい端末で各サービスにパスキーを登録し直すか、QRコードを使った「別端末のパスキーで一時的にログイン」機能で対応します。

複数の端末で同じパスキーを使えますか？

はい。iCloud キーチェーンや Google パスワードマネージャーで「同期パスキー」として保存すると、同じアカウントの複数端末で共有できます。一方、USBセキュリティキーや一部の設定では端末から出ない「デバイス固定パスキー」になり、その端末でしか使えません。

パスキーは「2段階認証」と何が違うのですか？

2段階認証はパスワード（1つ目）に加えてSMSコードやアプリのコード（2つ目）を足す仕組みで、パスワード自体は残ります。パスキーはパスワードそのものを置き換え、「鍵を持っていること（端末）」と「本人であること（生体認証）」を1回の操作で同時に満たします。パスワードが存在しないため漏えい・使い回し・フィッシングのリスクが根本からなくなる点が大きな違いです。

会社（業務システム）にパスキーを導入すべきでしょうか？

フィッシングや使い回しによる不正アクセスを構造的に防げるため、多くの企業で導入する価値があります。導入時は、端末紛失時の再発行フロー、共用PC・キオスク端末での扱い、対応していない旧システムの併存方法を事前に設計しておくとつまずきません。まず一部の重要システムから段階的に始めるのがおすすめです。

パスキーはどんな環境で使えますか？

最近の Safari（iOS / iPadOS / macOS）、Chrome、Edge、Firefox などの主要ブラウザと、Touch ID・Face ID・Windows Hello・Android の生体認証、またはUSBセキュリティキーがあれば使えます。動作には安全な接続（HTTPS）が必要です。

このページのデモで作ったパスキーは安全ですか？消せますか？

はい、安全です。デモのパスキーは totonoe.tech 専用で、他のサイトでは一切使えず無害です。アカウント登録も不要で、鍵や署名はサーバに送られません（送信ゼロ）。削除したいときは、iPhone / Mac は「設定」→「パスワード」、Windows は「設定」→「アカウント」→「パスキー」、Chrome は「パスワードマネージャー」→「パスキー」から、totonoe.tech の項目を消すだけです。

ITを整える

中級

パスキーの仕組みを整える。

＝指紋や顔でログインする「パスキー」を、図で理解して実際に試せる

パスワードはもう古い、と聞くけれど何が違うのか──「パスキー（WebAuthn）」を、図解で掴んでから、Touch ID や顔認証で実際に作って・ログインまで体験できます。『秘密鍵が端末から出ない』を、自分の指で確かめてください。送信ゼロ・登録不要。

💻 エンジニア

TLDR — 30秒で分かる

パスキー＝端末が持つ「鍵ペア」。公開鍵だけサーバに預け、秘密鍵は端末内で生体認証に守られて出ない。だから漏れない・使い回せない・偽サイトで動かない。図解のあと、実際に作ってログインして確かめられます。

主な機能を見る

登録・ログインの鍵ペアの流れを色分け図解
Touch ID / 顔認証 / Windows Hello で本物のパスキーを作成
作ったパスキーで実際にログイン（署名を表示）
パスワード（共有秘密）との違い・フィッシング耐性を解説
送信ゼロ・登録不要・削除手順つき

アニメで見る — パスキーのしくみ ▶ 再生で1ステップずつ動きます

📱

あなたの端末

スマホ / PC

🔓 生体認証

🔑 公開鍵

🔐 秘密鍵

🖥️

サービス

サーバ

🔑 公開鍵

📱

あなたの端末

スマホ / PC

🔓 生体認証

🔐 秘密鍵

✍️ 署名

🖥️

サービス

サーバ

🔑 公開鍵

✅ 本人確認

STEP 1

※ このアニメはイメージ図です。下の「実際に作って、ログインしてみる」で、本物のパスキーを体験できます。

図解でおさらい — 鍵ペアの仕組みパスワードとの違いを色で

① 登録（パスキーを作るとき）

端末が鍵ペアを生成

あなたの端末（iPhone/Mac/PC）が、その場で「公開鍵」と「秘密鍵」のペアを作ります。

公開鍵だけをサーバへ

サーバに送るのは公開鍵だけ。公開鍵は名前のとおり、見られても問題ない鍵です。

秘密鍵は端末の中

秘密鍵は端末から一切出ません。取り出すには指紋・顔などの生体認証で解錠が必要です。

② ログイン（パスキーで認証するとき）

サーバが「お題」を送る

サーバが毎回違うランダムなチャレンジ（お題）を送ります。使い回しできない一回限りの値です。

端末が秘密鍵で署名

生体認証で秘密鍵を解錠し、お題に署名。署名を返すだけで、秘密鍵そのものは渡しません。

公開鍵で検証

サーバは預かっている公開鍵で署名を検証。合えば「本人」と分かります。

これまで

パスワード＝共有秘密

✕同じ秘密をサーバと共有。サーバが漏れれば流出する。
✕覚えやすさから使い回しがち。1つ漏れると芋づる式。
✕偽サイトに入力するとそのまま盗まれる（フィッシング）。

これから

パスキー＝鍵ペア

✓サーバには公開鍵だけ。漏れても秘密鍵は安全。
✓サイトごとに別の鍵。使い回しが原理的に起きない。
✓登録元サイト以外では動かない（オリジン束縛）＝フィッシング耐性。

なぜフィッシングに強い？パスキーは「どのサイトで作ったか（オリジン）」を鍵自身が覚えています。偽サイト totonoe-login.example では、本物 totonoe.tech のパスキーはそもそも呼び出されません。だまされて入力する余地がない、というのが本質です。

LIVE DEMO — 実際に作って、ログインしてみる送信ゼロ・登録不要

パスキーを作る

ボタンを押すと、生体認証（Touch ID / 顔認証 / Windows Hello）の画面が出ます。あなたの端末がその場で鍵ペアを生成します。

パスキーでログイン

①で作ったパスキーで「本人であること」を証明します。秘密鍵は出さず、署名だけを返すのを確かめてください。

※ まず①でパスキーを作ると押せます

⚠ これは totonoe.tech 専用のデモ用パスキーです

このデモで作ったパスキーはこのサイトでしか使えません（他サイトでは無効・無害）。アカウント登録も不要です。お試し後に消したいときは：

iPhone / iPad / Mac：「設定」→「パスワード」から totonoe.tech を削除
Windows：「設定」→「アカウント」→「パスキー」から削除
Chrome：「パスワードマネージャー」→「パスキー」から削除

3行で分かるパスキー

「覚えるパスワード」から「端末が持つ鍵」へ。

1

鍵は2本セット。公開鍵だけ預ける

パスキーは「公開鍵」と「秘密鍵」のペア。サーバに渡すのは公開鍵だけで、これは見られても安全。南京錠（公開鍵）はばらまいてOK、合鍵（秘密鍵）は手元、というイメージ。
2

秘密鍵は端末から出ない

秘密鍵は端末のセキュアな領域に保管され、指紋・顔などの生体認証でしか解錠できません。ネットを流れないので、サーバが漏れても・通信を盗み見されても、なりすませません。
3

登録元サイトでしか動かない

パスキーは作られたサイト（オリジン）に束縛されます。だから偽サイトでは呼び出されず、フィッシングに強い。「うっかり偽物に入力」が構造的に起きません。

⚠ いちばん覚えてほしい1点

パスキーは「秘密を共有しない」認証です。パスワードは正解の文字列をサーバと分け持つので、どちらかが漏れれば終わり。パスキーは秘密鍵を渡さず署名（解いた証拠）だけを見せるので、盗む対象がそもそも存在しません。

💡 このページのデモは navigator.credentials（WebAuthn）を使い、すべてあなたのブラウザ内で動きます。鍵も署名も totonoe のサーバには送られません（送信ゼロ）。動作には HTTPS など安全な接続が必要です。

📖 このツールで使う用語

用語集トップへ →

分からない用語があれば、クリックして解説をご覧ください。

パスキー

パスワードに代わる、公開鍵暗号と生体認証を使うログイン方式。

詳しく見る →

公開鍵暗号こうかいかぎあんごう

「公開鍵」と「秘密鍵」のペアを使う暗号方式。

詳しく見る →

フィッシング

本物そっくりの偽サイトに誘導し、パスワード等を盗む詐欺。

詳しく見る →

よくある質問

Q. パスキーを登録した端末をなくしたら、ログインできなくなりますか？: A. いいえ、多くの場合は大丈夫です。iPhone や Mac のパスキーは iCloud キーチェーン、Android は Google パスワードマネージャーで暗号化同期されるため、同じアカウントの別端末から復元できます。同期を使っていない端末ローカルのパスキーの場合は、そのサービスの予備の認証方法（メール確認など）で再登録します。大切なサービスでは、複数の端末にパスキーを登録しておくと安心です。
Q. 機種変更したら、パスキーは引き継げますか？: A. 同じプラットフォーム間（iPhone から iPhone、Android から Android など）なら、クラウド同期でそのまま引き継げることが多いです。iPhone から Android のように異なるOSへ移る場合は同期されないため、新しい端末で各サービスにパスキーを登録し直すか、QRコードを使った「別端末のパスキーで一時的にログイン」機能で対応します。
Q. 複数の端末で同じパスキーを使えますか？: A. はい。iCloud キーチェーンや Google パスワードマネージャーで「同期パスキー」として保存すると、同じアカウントの複数端末で共有できます。一方、USBセキュリティキーや一部の設定では端末から出ない「デバイス固定パスキー」になり、その端末でしか使えません。
Q. パスキーは「2段階認証」と何が違うのですか？: A. 2段階認証はパスワード（1つ目）に加えてSMSコードやアプリのコード（2つ目）を足す仕組みで、パスワード自体は残ります。パスキーはパスワードそのものを置き換え、「鍵を持っていること（端末）」と「本人であること（生体認証）」を1回の操作で同時に満たします。パスワードが存在しないため漏えい・使い回し・フィッシングのリスクが根本からなくなる点が大きな違いです。
Q. 会社（業務システム）にパスキーを導入すべきでしょうか？: A. フィッシングや使い回しによる不正アクセスを構造的に防げるため、多くの企業で導入する価値があります。導入時は、端末紛失時の再発行フロー、共用PC・キオスク端末での扱い、対応していない旧システムの併存方法を事前に設計しておくとつまずきません。まず一部の重要システムから段階的に始めるのがおすすめです。
Q. パスキーはどんな環境で使えますか？: A. 最近の Safari（iOS / iPadOS / macOS）、Chrome、Edge、Firefox などの主要ブラウザと、Touch ID・Face ID・Windows Hello・Android の生体認証、またはUSBセキュリティキーがあれば使えます。動作には安全な接続（HTTPS）が必要です。
Q. このページのデモで作ったパスキーは安全ですか？消せますか？: A. はい、安全です。デモのパスキーは totonoe.tech 専用で、他のサイトでは一切使えず無害です。アカウント登録も不要で、鍵や署名はサーバに送られません（送信ゼロ）。削除したいときは、iPhone / Mac は「設定」→「パスワード」、Windows は「設定」→「アカウント」→「パスキー」、Chrome は「パスワードマネージャー」→「パスキー」から、totonoe.tech の項目を消すだけです。