生体認証(パスキー)を普段使用することで、
パスワードは覚えられないくらい複雑にしてよくなります。
また、認証情報がネットワーク上を通過しなくなるので
認証情報を盗むことが原理的に不可能になります。
これにより、パスワードが認証の主体ではなくなり、バックアップ手段として残しておくに留まります。
もちろんパスワードが漏れれば不正ログインのリスクはあるのですが
上記により、盗まれづらく、かつ推測されづらくなります。
また、生体認証(パスキー)の場合ドメインの正しさも検証されるのでフィッシング詐欺がほぼ不可能になります。
もし偽サイトを用意しようと思っても生体認証を利用できず、パスワードの入力をさせる必要があるので
普段生体認証なのにパスワードを強制されることでユーザーは違和感に気づきやすくなり、フィッシング詐欺が成立しづらくなります。
また、おそらくですが今後はパスワード方式の廃止が進み、普段ログインはパスキー、
万が一の場合にはバックアップコードを使用する
という方法が一般化されると予想します。
