パスキーの本質 - falsandtruのメモ帳

テクノロジーカテゴリーの変更を依頼記事元:

falsandtru.hatenablog.com

179 usersがブックマークコメント

パスキーの本質 - falsandtruのメモ帳

パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティ... パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。サービス側企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザー側の責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない。ユーザー側パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける

OKIIZO 反論の余地がある主張だとは思うんだけど、レスバしてるパスキーエヴァンジェリストへの印象が悪くなるだけのエントリで良かった。

2024/12/18 リンク

Falky 論点を「ユーザーは認証要素を適切に管理できるわけがない」に持っていくなら、まさにパスキーの優位性は「エンドユーザにパスワードマネージャの利用を強制する効果」にこそある、という話になるんじゃないの…？

2024/12/19 リンク

kenken610 この部分を無視して、ユーザーからしたらどうでもいい話ばかりして「ログインできなくなるの、大変っすよね、うん。それじゃ次の話題」くらいのノリで軽くしか触れない記事が今までに多すぎたんだよ

megumin1 記事で引用されている「秋田の猫」の発言が典型的な詭弁ばかりで、こういう記事を思わず書いてしまいたくなるこの筆者の気持ちは痛いほどわかります。相手を煽る発言をチェリーピックしてはいるのでしょうけど。

byourself そもそもパスキーが何か、どんなリスクがあるのかすら全くわかってないユーザが99.9%なのに、パスキー作れ作れ作れ作れ作れってログインするたびに言ってくるのはマジで頭がおかしいとしか思えない。

urtz メール認証だけでパスワード無しのサイトもあるし、それにパスキーを加えればいい。パスキーの本質はメール認証にある。パスワードも喪失すればメール認証なので、パスキーも同様にすればいい

vbwmle パスワードマネージャでユーザをマイナンバーカードやパスポートみたいな顔写真入りICカードに紐づけておき、詰んだ時のリセットにはそのICカードと顔認証（写真ベース）を求める、というのがマシそう

b-wind 何らかの復旧手段を用意する限りセキュリティの最小強度？は上がらないけれど、フィッシング被害を受ける機会が減るならばそれで良いかな。

britt フィッシングも一番弱いところ(パスキー再設定のためのパスワード等の認証等)を攻撃してくるからセキュリティは上がらない。毎回ログインパスワードを求められる金融系サイト等への導入はUXの向上に寄与するでしょ。

dot パスキーがパスワードの代替になるわけでは無いというのは同意するが、殆どのサイトでパスキーは選択肢を増やすために導入されてるし、実際パスキーの方が便性なので個人的にはバンバンパスキーを導入して欲しい。

dekaino パスキーは個人所有のデバイス/ストレージを必須とするから利用できる範囲が狭いのよ。ユーザーがみんなスマホ持ってる/使ってると思うなよ。ネカフェとかホテルにある共用PCから認証できなくなると困る人多いだろ?

kagerouttepaso 加えてパスキーのエクスポート/インポートの仕様が確立されておらず、パスワードマネージャーの移行が確立されてない。ユーザーの不利益をユーザーを無知蒙昧と断じて封じている印象がある。

sds-page 色んなサービスの復旧コード溜まってきて結局一か所にまとめがちなので「これ狙われたら終わるなー」と思ってる

wideangle “このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。”

rzi 〜に過ぎない、って論調多いけど極論&穿ち過ぎて逆に説得力ないよ。現実としてユーザー体験向上してるし、企業側もユーザー側もメリットあるならパスキーガンガン広がってほしい。

anonymighty 少なくとも現実の物理鍵と同じくらいの性能・リスクに近づけることができたので、これで文句いう人は現実の鍵にも文句言いなさいよって話になりませんか。

security

umaemong パスキーに夢を見すぎなんだと思う。啓蒙の仕方にも責任はあるとは思うが。パスキーはPW管理ツールがやるべき生成や保管を標準化してるだけだと考えたほうがいい。紛失やユーザー側からの漏洩のリスクは今まで通り。

PrivateIntMain "パスキーはパスワード入力機会を減らすに過ぎずユーザーが真に求めるのはこのメリットにデメリットが一切ないようこれをパスワード同様端末非依存かつ端末と復旧コードを喪失しても復旧可能にすること" そうね。

John_Kawanishi ｢企業にとってPassKeyとはPasswordの定期的変更の最新版なのでありUserがPassKeyを強要されるのはPasswordの定期的変更を強要された歴史を繰り返しているに過ぎない｣

Security

Rambutan “あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとすると” その前提になるのはFIDO2の問題でパスキーで解決されるのだと思うけど

Phenomenon ただの「パスワード」から「パスワードマネージャーに登録された32byteのパスワード」になるくらいの違いはあるので改善されてますよ。パスキー喪失はサポートへ。サポート対応できないレベルだと文句は言っていい。

SATTON だから推進派は”何をおいても“「サービスがパスキー認証とリカバリーの手段を用意することが重要」という事を啓蒙しなよ。/サービス側だから知らんじゃないです。

ot2sy39 自分ではまたちゃんと論理を整理できていないが、感覚としてはこの記事に同意する。冬休み中に考えを整理するかな。

ata00000 陰謀論的な考え方だなぁとは思うけど、「企業がパスワードを管理する必要がなくなる」という視点はなかった。あと「マジックリンク」って単語も初めて見た。もっと勉強せねば⋯

kazuau フィッシングによる漏洩、メモに書いて紛失、脆弱なパスワードの設定、いずれも防止できるから充分改善されると思うけど。パスワードとパスキーどちらもメールで復旧ならメールの信頼性に依存するのはその通りだが。

セキュリティ

rawwell なるほどパスキーはクソ、と。　"復旧コードを押し付けてパスワードリセットを取り上げる実装はクソだと断言できる"

はてなブックマーク

パスキーの本質 - falsandtruのメモ帳

記事へのコメント40件

関連記事