パスワードレスは本当にラクになったのか——Android AuthorityがパスキーとVerified Emailを試して見えた「もっと複雑な現実」

「パスワードを覚える必要がなくなる」と謳われるパスキーや、Googleの新機能「Verified Email」を実際に主回線で試したらどうなるのか。Android Authorityの記者が自分のGoogleアカウントをパスキー化し、MicrosoftやVerified Emailの挙動まで一通り検証したところ、認証ステップは思ったほど減らず、むしろ仕組みの理解負担が増えたと結論づけています。

パスキーに切り替えてもステップ数はほぼ変わらなかった

Karandeep Singh氏は、自身のメインのGoogleアカウントを通常のメール＋パスワード方式からパスキーへ切り替える実験を行いました。プラットフォームロックインを避けるため、Google純正ではなくサードパーティ製パスワードマネージャーのEnpassを使ったうえで検証しています。

ところが、新規セットアップこそ新鮮だったものの、結局はパスワード方式のときとほぼ同じ数の認証ステップを踏むことになったと振り返ります。そもそもパスワードマネージャーを使っていれば「パスワードを覚える」作業はすでに発生しておらず、覚えているのはマネージャーのマスターパスワードだけ。パスキー化のメリットは想像より小さかったというのが率直な感想です。

Passkeys claim to replace remembering a password, but I anyway don't remember mine, thanks to my password manager. （パスキーは「パスワードを覚える」を置き換えると謳うが、自分はそもそもパスワードマネージャーのおかげで覚えていない）

Microsoftアカウントで露呈した「パスキーを作ってもOTPは消えない」問題

検証のなかで特に違和感が強かったのが、Microsoftアカウントへのサインインです。サインインのたびにパスキー作成を強く促され、パスワードマネージャーが自動的に開いてパスキー登録フローに入る挙動が続いたと報告されています。

そこで観念してパスキーを作成したにもかかわらず、結局は従来どおりのOTP（ワンタイムパスワード）検証画面が表示されたとのこと。Singh氏は「結局なにが簡素化されたのか」と疑問を呈しており、パスキーは追加の認証ステップを置き換えるものではないため、二段階目以降の認証側こそ賢くなる必要があると指摘しています。

Google「Verified Email」が抱える制約

Googleが導入したVerified Emailは、AndroidのCredential Manager APIを使ってメール検証ループそのものを省略する仕組みです。アプリ→メールアプリ→OTPコピペという面倒な往復をなくせる点では、Singh氏が探していた答えに近いとされています。ただし発表内容を踏み込んで読むと、複数の前提条件が見えてきます。

Gmailアカウントが前提で、汎用的に使える機能ではない
「Sign in with Google」とは連携しないため、Googleアカウント側で従来どおりの二段階認証を求められる場面が残る
認証が端末に紐づくためクロスデバイス対応ではない
すでに二段階認証が有効な既存アカウントには適用できず、既存アカウントを取り込む手段が用意されていない

これらの制約から、「全員のメール検証ループが消える」というほどの汎用ソリューションには現時点で達していないという見立てが示されています。

読者投票でも「パスキー・端末の混乱」が最多得票

記事中では、読者投票（投票数297）の結果も公開されています。「今いちばんストレスを感じる認証は何か」という問いに対する回答は次のとおりです。

選択肢	得票率
パスキー／端末まわりの混乱	42%
OTP検証ループ	26%
パスワードを覚えること	18%
パスワードマネージャーの動作不良	14%

最多得票はパスキー・端末まわりの混乱で、投票者の42%がここを最大の不満に挙げました。「パスワードを覚えること」が最大の不満と答えたのは18%にとどまり、皮肉にもパスワードレス側で生まれた新しい摩擦のほうが、ユーザーの体感ストレスとして大きく出ている結果になっています。

「技術はあるが、UXが追いついていない」というのが結論

Singh氏は最終的に、「パスワードレスを実現する技術はすでに存在しており、課題はそこではない」と整理しています。問題は、認証を「ユーザーが意識しない場所」まで押し下げきれていない点にあるという見方です。

理想的なシナリオは、パスワードマネージャーを使いこなす一部の上級ユーザーではなく、いまだに「ひとつのパスワードを使い回しているユーザー」にも同じだけ便利で一貫した体験を提供することだと指摘されています。Verified Emailとパスキーはそれぞれ別の問題を個別に解いているだけで、ひとつの体系として束ねられていないというのが今回の実体験から得た所感です。

FIDO Allianceの取り組みはまさにそのためのものですが、現状はエンドユーザーから見ると断片の寄せ集めに見えるとの評価が記事内で示されています。そのうえで、グローバル規模のAndroidを抱えるGoogleこそ、いままでパスワードマネージャーを使ってこなかった層にまで届く立場にあり、「パスワードレスを主流化できる企業がいるとすれば、それはGoogleだ」と結ばれています。

リーク情報ではなく実際の利用検証に基づく所感のため、いま自分のメインアカウントを丸ごとパスキー化すべきかを判断する材料として参考になる内容です。仕事や決済に紐づく重要アカウントは、対応サービスのカバー範囲やリカバリー手段を確認したうえで、慎重に部分導入していくのが妥当な判断と言えそうです。

FIDO Allianceの最新調査が示すパスキー普及の実数

UX側の摩擦が議論される一方で、普及そのものはマクロでは確実に進んでいます。FIDO Allianceは2026年5月7日のWorld Passkey Day 2026で、世界で推定50億個のパスキーが利用されているという大規模なマイルストーンを発表しました。

State of Passkeys 2026の主な数字

調査では、90%の人がパスキーを認知し、75%が少なくとも1つのアカウントで有効化、49%が利用可能な場面で日常的に使用、68%の組織が従業員サインイン向けに導入もしくは導入中という結果が示されています。エンタープライズ側の動きも明確で、200を超える組織がFIDO AllianceのPasskey Pledgeに署名し、業界全体での推進姿勢を打ち出しています。さらに地域差も大きく、APAC全体では72%の組織がパスキーをすでに導入もしくは積極的に展開中で、37%が完全パスワードレスの従業員環境を達成しています。ユーザー体感のストレスと、インフラ側の浸透速度には依然としてギャップが残っている状況です。

Verified Emailの技術要件と「Gmail以外」の落とし穴

Verified Emailは便利な仕組みである一方で、動作条件と検証範囲を細かく見ると、実装には注意点が多く存在します。この機能はAndroid 9（API level 28）以上のスマートフォン・タブレット・折りたたみ端末で動作し、Google Play services（GMS）は25.49.x以上が必須です。

コンシューマGoogleアカウントは@gmail.com以外のメールでも作成可能だが、@gmail.com宛ではGoogleが権威ソースとなる一方、非@gmail.comアドレスでは長期的な所有権変更の可能性があるため、OTP送信などの追加検証の併用が推奨されています
土台となるDigital Credentials APIはissuer-agnosticな設計で、メールクレームを持つ他のデジタルクレデンシャル発行者にも開かれています
クレデンシャルにはfirst name、last name、full name、プロフィール画像も含められますが、Googleが実際に検証するのはメールアドレスのみとされています

「メール検証ループを省ける」のは@gmail.comユーザーに対して機能する条件付きの体験であり、それ以外では従来フローと併走させる設計が前提になります。

Q&A

Q. パスキーにすればパスワードもOTPも本当に不要になるのですか？ 今回の検証では、Microsoftアカウントのようにパスキーを設定したあともOTP検証画面が表示されるケースが報告されており、サービスによっては二段階目以降の認証が残ります。「パスキーだけですべて完結する」とは限らないのが現状です。

Q. GoogleのVerified Emailはどんなユーザーが使えますか？ Gmailアカウントを持っていることが前提で、Androidの仕組みを利用するため端末に紐づく形になります。Sign in with Googleとは連携せず、すでに二段階認証を設定済みの既存アカウントには適用できないと説明されています。

Q. いまパスワードを使い回している人はどうすべきですか？ パスワードレス側もまだ摩擦が残る以上、まずはパスワードマネージャー＋二要素認証で「使い回しをやめる」ところから始めるのが現実的です。そのうえで、対応サービスから段階的にパスキーを導入していくのが、いまの環境では無理のない進め方と言えるでしょう。