はじめに

こんにちは、マネーフォワード ID 開発チームの @nov です。

2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。

2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。

この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。

• Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
• パスキー利用状況レポート @ マネーフォワード ID (vol.1, May 2023)
• パスキー利用状況レポート @ マネーフォワード ID (vol.2, Aug 2023)
• パスキー利用状況レポート @ マネーフォワード ID (vol.3, Nov 2023)

利用状況レポートのvol.4はもう少し寝かせておきますが、この記事では、この一年ほどの間にあったパスキーまわりの進化とまだ足りない点について、一旦まとめておこうかと思います。

2022年末時点で思っていたこと

2022年10月12日に、個人的に折りに触れて開催している #idcon という勉強会の一環として #idcon vol.29 - #fidcon WebAuthn, Next Stage というイベントを開催したのですが、そこで僕が話したスライドがこちらです。

この時点では Chrome には Passkey Autofill 実装が来ていなかったのでプロダクションリリースするにはまだ早すぎる状況でしたが、すでに Apple から Passkey Autofill が発表されており、今後の FIDO(Fast Identity Online) の UX は Passkey Autofill 一択であろうと確信していました。

Passkey Autofill の UX の最も魅力的な点として、ユーザーにとっては認証時はパスキーとパスワードの違いなど意識する必要はなく、サイト運営社側としてもユーザーのリテラシーの高まりを待つ必要なくパスキーを導入できるというものがありました。

一方で、問題点として、以下のような点がありました。

1. Passkey Autofill を使えばメールアドレス入力欄とパスワード入力欄が別ページに分離しているマネーフォワード ID のようなログイン UX をとらざるを得ないサービスでも Face ID が一回だけで済むようになる一方、パスキーとパスワードの違いがよくわからないユーザーからすると Face ID が一回だけしか聞かれないケースと二回聞かれるケースが混在し混乱の元となる
2. パスキー登録後にメールアドレス変更を行なった場合、パスワードマネージャーに表示されるパスキー表示名と実際に登録されているメールアドレスにズレが生じる
3. 登録時には Autofill 的な UX が利用できないため、結局登録時にはパスキーをある程度ユーザーに意識させないといけなくなる
4. パスキーが Sync できるのは同一プラットフォーム間に限られ、結局 Apple デバイス縛りに満足しているユーザー以外ではそのような複数端末を持つユーザーはほぼいないので Sync はあまり役に立たない
5. iCloud Keychain が無効化されている Apple デバイスでは一切パスキーが生成できない

2023年末時点で解決していること

上記問題点 (1) に関しては、パスワード認証時にもメールアドレス入力欄の下に不可視なパスワード入力欄を配置することで、メールアドレス入力時にパスワードマネージャーを利用した場合だけ同一ページでパスワードが入力されるような実装に変更したおかげで、パスキーでもパスワードでも Face ID を一回行うだけでログインできるようになりました。

問題点 (2) に関しては、半年ちょっとパスキー対応のサイトを運営してきた結果として、ユーザーがそれにより混乱するケースはほぼないということもわかったため、現時点では問題視しないようになりました。

また問題点 (4) に関しては、 1Password などの Cross-Platform で利用可能な 3rd-party のパスワードマネージャーがパスキー対応を進めていることで、そういったパスワードマネージャーを使うユーザーに限っては解決の糸口が見えつつあります。まだ 1Password の実装などを見る限り Safari や Chrome のデフォルトのパスワードマネージャーと比べて変な挙動が多いのが難点ですが...部分的には解決された、と言ってもいいでしょう。

2023年末時点で未解決な問題とその解決の糸口

問題点 (3) に関しては、先日 AXIES 2023 というイベントの前夜祭でもお話したのですが、W3C WebAuthn WG 内で Autofill UX によるパスキー登録をサポートしようという動きが出てきています。提案者が Apple の人のようなので、うまくいけば2024年の WWDC で何かしらの発表があるのではないかと期待しています。

アカウント登録時やパスワードリセット時に、パスキーが何かを知らないユーザーにも違和感なくパスキーを登録させることができるようになれば、マネーフォワード ID で利用しているパスキープロモーションページは不要になるであろうと見込んでいます。

2024年の WWDC に注目ですね。

問題点 (4) については、3rd-party のパスワードマネージャーが Cross-Platform で利用できるように、 Safari や Chrome のデフォルトのパスワードマネージャーも Cross-Platform で利用できるようになるべきだと思っています。Apple Platform 上の Chrome では、 iCloud Keychain にパスキーを保存できるようにはなってきているので、この流れがもう少し進んでくれることを期待しています。

問題点 (5) に関しては、全く解決されていません。パスキー対応サイトを Apple デバイス上で開発している僕にとっては、なかなか不便な状況が続いています。会社として Managed Apple ID を導入すれば、 Managed Apple ID で iCloud Keychain およびパスキーを利用できるようにはなるのですが、現場のエンジニアとしてはその辺りはコントロールしづらい状況です。

また2022年時点では認識していなかった点として、意外にも Passkey Autofill を採用するサイトが少ないという点も問題として認識するようになりました。「パスキーでログイン」といったボタンを選択させられたり、メールアドレス入力後に出てくるパスキープロンプトを毎回キャンセルさせられたりする UX は、パスキーを理解していないユーザーからすれば悪夢でしかないでしょう。もう少し Passkey Autofill を活用するサイトが増えてくれることを期待します。

最後に

2024年にある程度見えてきているゲームチェンジは登録 UX の Autofill 対応でしょう。

2024年末には、

• Passkey Autofill による登録に対応し
• 新規アカウント作成時にパスワードを作成することなくパスキーだけでアカウント登録可能になり
• 新規アカウントの50%ほどがパスキーでの登録に変わり
• ログインアクションの30%ほどがパスキーでのログインになっていること

を期待しつつ、2023年を終えたいと思います。

それではまた、パスキー利用状況レポート vol.4 でお会いしましょう。

-- @nov