2023年以降、Telegramは段階的にSMSを必要としない新しいログイン方法「パスキー」の導入を進めています。これは、従来のSMS認証コードに代わる、より安全で便利な認証手段として注目されています。パスキーは、FIDO Allianceが推進するWebAuthn標準に基づく技術で、ユーザーのデバイス自体(スマートフォンやパソコン)に保存された暗号鍵を用いて認証を行います。
具体的には、端末の生体認証(指紋や顔認証)やPINコード、画面ロック解除パターンなどを用いて、ローカルで秘密鍵の使用を承認します。この秘密鍵とサーバーに登録された公開鍵のペアによって、パスワードやSMSコードを介さずに本人確認が完了する仕組みです。この技術がTelegramに導入された背景には、SMSを介した認証コードのリスクがあります。
SIMスワップ攻撃やSMSの盗聴、フィッシングによって、SMSコードが第三者に取得され、アカウントが乗っ取られる事件が後を絶ちません。パスキーは、認証情報が端末から外部に送信されないため、こうした中間者攻撃に対して極めて強固です。実際の設定は、Telegramアプリの「設定」→「プライバシーとセキュリティ」→「パスキー」から行うことができます。
一度パスキーをデバイスに登録すれば、次回以降のログイン時には、そのデバイスで設定した生体認証などを使って素早く安全にアクセスできます。特に、Telegram Desktopなどのクライアントを使用する際の利便性が大幅に向上します。重要な点は、パスキーがSMS認証を完全に置き換えるわけではないということです。
初期設定時やバックアップとしてのSMSコードは依然として重要な役割を果たします。パスキーはあくまで、日常的なログインの簡素化とセキュリティ強化を目的とした追加オプションです。ユーザーは、複数のデバイスにパスキーを登録することも可能で、スマートフォンを紛失した場合でも、予め登録しておいたタブレットやパソコンからアカウントにアクセスする道が確保されます。
Telegramがこの技術を採用したことは、WhatsAppやGoogleアカウントなど、他の主要プラットフォームが同様の流れを進めていることとも符合しており、パスワードレス認証という業界全体の大きなトレンドの一環と言えます。ユーザーは、利便性と最高水準のセキュリティを両立させるため、この新しいオプションの利用を検討する価値があるでしょう。