PCからもスマホからもQR読込なしのパスキーログインは可能!
前回紹介した方法ではPCからスマホなしでログインは出来ても、スマホからはログイン不可となってしまいます。
全ての端末と複数チャネルから煩わしいBluetooth接続でQRコード読み取りという工程を経ずに、パスキーでシンプルにログインする方法はないものか?
そんな都合の良い抜け道がある訳ねえだろ?皆PC買い替えたり、アダプタを買って追加コスト払って対応してんねん!
という声が聞こえて来そうですが、実はあるんですよ!
しかも、驚くことに楽天証券公認の抜け道が!?
楽天証券が抜け道の通り方は教えてくれている!
実は楽天証券が公式説明でこの抜け道を堂々と案内しています!
Windows Helloに直接保存する方法とは異なり、言わば楽天証券公認の抜け道なので堂々と大手を振って通れます!?
「Androidの事前準備」「パスキーを便利にご利用いただくための設定」「Googleアカウントで複数端末からログインする場合」を開くと、
Androidスマートフォンからパスキーを作成後、以下の操作からBluetooth非対応のパソコンからもパスキーログインできる可能性があります。
との記載があり、以下のFAQページには具体的な設定方法も書いてあります。
基本はこのページの通りなので、楽天証券の言う通りに設定して、複数端末・複数チャネルからbluetooth・QRなしで便利にパスキーを利用しましょう!以上!解散!
と言いたいところですが、私は昨年中にはこの記載に気付いてトライしたが出来ずに「可能性あり」と言っているだけなので、自分の環境では無理なのかと思い諦めた経験があります。
今回は設定して上手く機能したので、おそらく誰でも端末やOS・ブラウザの要件をクリアして設定さえ間違えなければイケるのではないかと思うので、補足説明しましょう!
Googleアカウントの威力・共有力を最大限に活かすこと!
公式の説明は大変に舌足らずです。
設定の前に何故こんなことが可能になるのか理屈を理解していないと、公式が「可能性あり」と言っているだけのサポート外抜け道はトラブルに自分で対処して自力走行できない人が通るべきではない!
全端末・複数チャネルにおけるbluetooth・QRなしパスキーログインの魔法はGoogleアカウントとそのサービス(今回はChromeとパスワードマネージャー)の能力に全て依存しています。
Androidでパスキーを保存すると端末内に保管しているイメージにはなりますが、実際にはGoogleアカウントと紐づき保管され、端末依存ではありません。
(Android端末は通常Googleアカウントにログインしっ放しで使う設計になっているので意識していないだけ。)
よって、パスキー保存したスマホ以外の(同じGoogleアカウントに紐付く)別Android端末からログインする時もQRコードなしであたかも端末内のパスキーで認証しているかのようなイメージで直接簡単ログイン出来ます。
Googleアカウントとそのサービスの利点はスマホに限定されずPCであれタブレットであれ同じアカウントでログインしている限り、端末に依存せず様々な情報や機能を共有できること。
これはパスキーも同じであり、一旦Googleパスワードマネージャーに保存されれば、基本はGoogleアカウントにログインしてさえいれば端末を問わずに使えて認証されることになります。
つまり、PCでもGoogleアカウントにログイン状態でChromeブラウザを使えば、スマホで保存したパスキーをそのまま使って認証できることになります。
公式FAQに足りない補足情報
上記を踏まえて公式FAQに補足説明すると、(一応書いてはありますが)
初回ログイン時のみならず、PCでもChromeはGoogleアカウントにログインしっ放しで使うこと!
スマホの場合でもChromeからはアカウントログアウト状態で使ったり、PCの場合はGoogleアカウントにログインせずや必要の都度ログインで使う人もいると思います。
日常的に楽天証券にログインするなら、Googleアカウントからログアウトされているとパスキー認証は不可となるのでログインしっ放し運用に変えた方が良いでしょう。
私が昨年中にトライした時にダメだった理由はおそらくこの設定(↓)が適切でなかったからだと思います。
端末ごとにGoogleアカウントのパスキー共有設定をオンにして使う!
私はGoogleアカウントで(クレカ番号とか住所とか)やたらと共有するのはセキュリティ的にも好きではないので、普段はブックマーク程度しか共有させていません。
普段から全てフル共有している人には問題ありませんが、この設定をしっかり確認して変更しておきます。
まずはパスキー設定するスマホでChromeの「設定」から「Googleの設定」に自分のアカウントが表示されているはずなので、タップすると「Googleアカウント」の画面に変わるので、「パスワード」の項目をオンに変えて共有させます。(この項目にパスキーも含まれます。)
次にPCでChromeの「設定」「Googleの設定」「同期とGoogleサービス」「同期する内容の管理」と進んで、「同期データ」の中にある「パスワードとパスキー」をオンに変更。
これをやって公式FAQの通りに設定すれば上手く行く(かも知れません)!?
PCではWindows Helloでパスキー認証したい!
でも、この方法で上手く行ってもPCからのログインにbluetooth・QRは不要になりますが、PCからはGoogleパスワードマネージャーのPINコードでパスキー認証することになります。
パスワード・絵文字認証よりは圧倒的に速くなりますが、私はPCの指紋認証を使いたいし、他のネット証券と同じ認証方式に統一しておきたい。
でも、楽天証券で設定できるパスキーは1つだけなのでGoogleアカウントに紐付けたら、Windows Helloに保存することは出来ない!
こんな私のワガママを叶えてくれる画期的(!?)な方法も発見しました!
GoogleアカウントのパスキーをWindows Helloに保存して間接的に楽天証券のパスキー認証を行う!
この設定方法は一般的で公式にも非公式にも説明はネットに溢れているので省略しますが、PCから楽天証券にログインする際、楽天証券はGoogleパスワードマネージャーにパスキー認証を求めるが、Googleパスワードマネージャーは自身のパスキーが保存されているWindows Helloの認証を求めて来るので、実行するとGoogleパスワードマネージャーが認証されて、結果間接的に楽天証券のパスキーがPC上で認証されるという魔法が使えます!?
わかりにくい説明ですが、楽天証券側にはWindows Helloは見えてないので、単にGoogleパスワードマネージャーにパスキー認証されたという認識がされてPC上でログイン出来る訳です。
利用者側にはあたかもPC内でWindows Helloが楽天証券のパスキーを認証したかのように振る舞ってくれます。
これにより、
PCのWebとMarket Speedからはbuletooth接続不要のQR読込なしにWindows Helloでパスキーログインしつつ、
スマホのWebとiSpeedアプリからも直接パスキーログイン出来る
という魔法が完成します!
iPhoneやMacでも使える方法なのか?
私はApple端末では一切試していないので実体験としてはわからないことを断っておきます。
しかし、実現の理屈を理解した上でQ&Aのやり方を応用してやることは可能なはず。
大事なことはGoogleアカウントとChromeとパスワードマネージャーを使ってパスキーを端末依存せず共有させてやること。
実際にiPhoneでもChromeウェブでGoogleパスワードマネージャーにパスキー保存すればWindowsPCとも共有できたという話はネットで見ました。(日本の場合はこの組み合わせが多いですからね。)
同様にMacでもChromeブラウザから楽天証券にログインすれば理屈の上では機能する筈ですが、Market Speedの挙動も含めて実際に使えるかは私に不明です。
(Apple内の連携なら敢えてGoogleサービスを使う必要もないと思いますが)
Apple端末を含めてある程度試行錯誤してみて認証が上手く行かないなら、自分のせいではない可能性もあり諦めも肝心です。
楽天証券も「可能性ありの方法」として紹介しているだけで動作保証はしていません。
(しかし、要件を満たしたAndroidスマホとWindowsPCなら誰でも可能で、パスキー利用のbluetooth・QR強制を無力化する画期的な方法ではないかと個人的には考えます。)
楽天証券はセキュリティ設定をどうしたいのか?
パスキーのセキュリティを堅牢化するためにbluetooth接続QRコード読込の方法を強制化しつつ、使わずにやる方法がない訳ではないとQ&Aで抜け道の通り方を指南するのは大きな矛盾です。
前回記事の通りにWindows Helloに直接パスキーを保存する穴も空いている(空けている)状態です。
おそらくbluetooth・QR強制はやり過ぎたと思いつつも(実際に同じレベルの面倒さを利用者に強制するネット証券はない)、引っ込みがつかなくて表看板と内容には変更を加えられない状況でヒッソリと緩和している状況かと思いますが、もう一度運用方法を整理し直して看板を書き換えてオープンにする必要があると思います。
楽天証券の複雑面倒過ぎるパスキー運用は「過ちては改むるに憚ること勿れ」の状況ですよ!?
