パスキーもVerified Emailも複雑だった——Android Authority記者がパスワードレス生活で感じた壁

「パスワードを捨てれば認証はもっとシンプルになる」——その理想を実際に試した記者が、Android Authorityで率直なレポートを公開しました。Googleアカウントをパスキーに切り替え、新機能「Verified Email」も試した結果、手数はほとんど減らず、むしろ仕様の断片が増えたという内容です。記事は「パスキー、OTP、Verified Emailは認証をかえって複雑にしているように感じた」と総括しています。

パスキーへ切り替えた記者が直面した「同じ手数」の壁

筆者のKarandeep Singh氏は、Googleアカウントをメール+パスワードからパスキーに切り替えたと報告しています。仕組み自体は新鮮だったものの、認証ステップ数は通常のパスワードログインとほぼ同じだったと述べています。パスワードマネージャーを利用している立場からすると、「パスワードを覚える必要をなくす」というパスキーの売り文句自体、すでに自分には当てはまらないという感覚もあったとされています。

象徴的だったのがMicrosoftアカウントの挙動です。サインインのたびにパスキー作成を促され、パスワードマネージャーが自動的に開いてセットアップフローが走ったと報告されています。観念して一度パスキーを作成しても、結局これまでと同じOTP確認画面が表示されたといい、「いったい何が簡素化されたのか」という疑問が残ったと振り返っています。

Gmail前提・デバイス紐付き——Verified Emailに残る前提条件

GoogleがOTP確認ループを断ち切るために導入した「Verified Email」は、AndroidのCredential Manager APIを使い、メールアプリへ移動してコードをコピー＆ペーストする手間を省く仕組みです。Singh氏は方向性自体は支持しつつも、利用条件に複数の前提があると指摘しています。具体的には次の4点が挙げられているとされます。

1. Gmailアカウントを前提とすること
2. 「Sign in with Google」経由では従来通り二要素認証が必要になり得ること
3. デバイスに紐付くためクロスデバイスでの持ち運びが利かないこと
4. 既に二要素認証を有効にしている既存アカウントを受け入れる経路が用意されていないこと

「機能ごとに別の前提条件がある」という断片化が、結局ユーザー側に新たな知識を要求しているとSingh氏は指摘しています。OTPの煩わしさを減らす狙いそのものは評価できるものの、現状ではGmail利用者かつ特定の導線でしか恩恵を受けにくく、汎用的なパスワードレス手段とは言いがたいと読める内容です。

それでも「Googleにしかできない」とされる理由

Singh氏は、悲観論で記事を締めてはいません。技術自体はすでに揃っており、課題は「認証を背景に押しやる」ところにあるとしています。理想のユーザー（パスワードマネージャー利用者・TOTPアプリ運用・YubiKeyなど物理セキュリティキー保有）ではなく、いまも単一パスワードを使い回している層に届く一貫した仕組みが必要だ、というのが論旨です。

FIDO Allianceはまさにこの役割を担う組織ですが、現状の成果は「断片的な寄せ集め」に見えると評しています。一方でAndroidの圧倒的なグローバル規模を抱えるGoogleこそ、パスワードマネージャー未利用層にもリーチできる唯一の主体だとし、「ボールはGoogleのコート側にある」と結んでいます。

現時点でパスワードレス移行を検討している読者にとっては、「先に主要サービス（Google・Microsoft・利用中のSaaS）がパスキーとフォールバックを十分にサポートしているかを確認し、無理に全面移行するより、ハイブリッド運用で様子を見るのが妥当」と判断できる内容です。なお本記事は約1,463語のレポートとして公開されています。

「50億パスキー」時代の到来——FIDO Alliance最新調査が示す普及曲線

記者が感じた「複雑さ」とは裏腹に、マクロ視点での普及は加速しています。FIDO Allianceは2026年5月7日のWorld Passkey Dayに、世界で推定50億のパスキーが利用されているという節目を発表しました。State of Passkeys 2026レポートが示す主要指標は以下の通りです。

これらは10か国・1万1000人の消費者と1400人の企業意思決定者を対象とした調査に基づくもので、認知だけでなく実利用への転換が進んでいることを示しています。ただし普及と完全移行は別問題で、パスキーを導入した組織でも57%は日常的な主要サインインにフィッシング可能な認証方式を併用していると報告されています。記者が直面した「OTPが消えない」体験は、こうした併用フェーズの一端と読み取れます。

エンロール成功率は最大3倍差——Corbadoが指摘する「運用の壁」

技術側ではなく運用側に課題が移っている点も最新ベンチマークで裏付けられています。Corbadoの「Passkey Benchmark 2026」は、パスキー普及の最大の障壁がもはや技術的レディネスやブラウザ対応ではなく、運用上の摩擦・デスクトップでのUX・企業セキュリティチーム内に残る誤解だと指摘しています。

プラットフォーム別の初回エンロール成功率

• iOS Web: 最大83%
• Windows Web: 25〜39%

さらに、ユーザーに2回目のプロンプトを出した時点でエンロール成功率が急落することも判明しており、オンボーディングのタイミング設計が普及に大きく影響します。記者がMicrosoftアカウントで「サインインのたびにパスキー作成を促された」体験は、まさにこの「2回目以降のプロンプト疲れ」の典型と整理できます。加えて、保存パスキーはiCloud Keychainが44〜69%、Google Password Managerが21〜33%を占めると推計されており、エコシステムが少数のプロバイダに集中する構造的な懸念も浮上しています。

Q&A

Q. パスキーに切り替えれば二要素認証は不要になりますか？ 必ずしも不要にはならないと読める内容です。Singh氏の実体験では、Microsoftアカウントでパスキーを作成しても、結局これまでと同じOTP確認画面が表示されたと報告されています。また、Verified Emailについても「Sign in with Google」経由では従来通り二要素認証が必要になり得るとされており、現状ではパスキー単独で二要素認証を完全に置き換えられる段階には至っていないと考えられます。

Q. GoogleのVerified Emailを使えばOTP入力は大幅に減りますか？ 条件付きで減らせるとされていますが、大幅に減らせない可能性があります。Gmailアカウントが前提で、「Sign in with Google」経由では機能しないとされ、デバイス紐付きのためクロスデバイスでは使えないとも指摘されています。既に二要素認証を設定済みの既存アカウントを受け入れる経路もないとされており、汎用的にOTPを置き換える段階には至っていないと読めます。

Q. どのサービスから優先的にパスキー化すべきですか？ Singh氏の実体験では、GoogleとMicrosoftのような大手プラットフォームでも体験差や前提条件が残っています。まずは普段最も使うアカウント1〜2件でパスキーとフォールバックの動作を確認し、運用に支障がないと判断できたサービスから順に広げていく進め方が、現実的な落としどころと考えられます。

出典

• Android Authority — I tried ditching passwords, but the alternatives feel even more complicated
• FIDO Alliance — Five Billion Passkeys: FIDO Alliance Reports Mainstream Global Usage on World Passkey Day 2026
• FIDO Alliance — The State of Passkeys 2026: Global Consumer and Workforce Report