パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife

テクノロジーカテゴリーの変更を依頼記事元:

ritou.hatenablog.com

146 usersがブックマークコメント

パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife

ritouです。最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきまし... ritouです。最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ？リカバリ方法のないそんなもん使おうと思う訳あらへん。別件ではパスワード認証が詰まないと書かれているのも見かけましたので、一回整理しておきましょう。「どんな認証方式でも、詰む」パスワード、メールやSMS OTP、メールで送られるマジックリンク、認証用アプリ、TOTP、生体認証、パスキー...全ての認証方式で「詰む」状況というのはあり得ます。知識情報 : 忘れる所持情報 : デバイスや環境をなくす、一時的に利用できない生体情報 : 関連する器官の欠損、怪我などもちろん、その頻度や条件が異なります。 FIDO認証からパスキーに変わった部分

オーナー ritou 少しずつ共通認識にしていきましょう。(追記)機能単位で「利用不可能になる=詰む」ことはある、ユーザー目線で最終的に「詰む」状態を避けるためにサービスがわで組み合わせなりを考えましょうって話です。

2024/12/19 リンク

SATTON あーすまんけど「パスワード認証は忘れた瞬間詰みます。セルフリカバリーとセットで定石になってるだけ」ってそれは詰んでないんよ。パスキーでもセルフリカバリーをセットで示せと言われとるんやで。

ton-boo パスワード運用でありがちなセルフリカバリー相当の認証強度でいいのなら（たいていはあまり良くない）パスキーでも同じことはできるのでは…というかパスワードログインもできるようにしとけばいいだけ

umaemong "詰み"の認識に齟齬が…。大抵のサービスはパスワード認証の場合と同程度のリカバリ手段が用意されてるけどな。パスキーのバックアップし辛さが『リカバリできない』イメージになってそう。

britt どれも詰むのでどれもリカバリ手段が必要。リカバリ手段まで含めてトータルで考えると、パスキーが喧伝するセキュリティ向上のメリットは大きく毀損する。FIDO2のドキュメントにもそれが課題ってちゃんと書いてある。

2024/12/20 リンク

yaychang ユーザー認証とリカバリがセットという考え方がよくわからない。パスワードのリカバリで使える手法は基本的にはパスキーでもつかえるんじゃ？実装の問題だよね。

gomisute44 あまりログインしないサイトとかでパスワード思い出せなくてパスワードリセットはちょくちょくやってるけど、それで普通にログインできるし「詰んだ」と思ったことは無いな

andalusia リカバリーができると言うことは攻撃者の機会も増えるわけで（ありがちなパスワード忘れ対応だと、メールアドレス奪取されているとダメだったり）、利便性とリスクのバランスの問題は常にある。

camellow すでに普通のパスワードのためにパスワードマネージャを使ってる勢からするとパスキーのメリットは特にない感じ。

NOV1975 問題は「サービス側のリセット運用がクソ」でしかないのでそこは無視して普段使う話は「フィッシングに引っかかる可能性を下げることに全振り」でよくね？リテラシの高い人にはかえって不便かもしれないけど。

beed セルフリカバリーができるのは認証方式とは別問題だよねって話に「セルフリカバリーできるから～」って反論くるんだもんな。ユーザー目線で多くのサービスがそうなってるのはわかるけどレイヤー違くね？

khtno73 Facebook messenger数ヶ月ぶりに使おうとしたらSMSでの2段階認証がMeta都合でその時間帯使えずアカウントを持ってもいないWhatsAppで認証しろって言われたのは詰み？

felick パスキーになるとなぜかリカバリー手段が問い合わせしかなくなるサービスがあるのよね。スマホ1台だけの人が紛失やら買い替えしたら簡単に詰む。

raebchen アカウントの概念理解してる人と、「IDって何やねん」レベルの人と一緒にはできん😳 ID欄にpw入力してたり、pw再設定の意味分からんかったり、IDが古いメアドや携帯メアドで受信できんで詰んでる人も実際多いし😳

Lhankor_Mhy 『設計の問題ですよね』と読んだ。まあたしかに。ただ、設計のしやすさみたいなのは違ってくるのかもしれない。わからんが。

セキュリティ

Fluss_kawa 今auのなんかのサービスがパスキーで詰みになってて、パスキーを解除してパスワードをリセットしろと言われるんだけど、パスキーを解除するのにログインが必要でそのパスキーが動かないんよ。詰んだ。

megumin1 「地球は明日爆発する可能性がある」並の意味のないタイトルと記事の内容ですね。「ビットコインは脆弱である。なぜならSHA-256が偶然一致することはあり得る」と同じレベル。

new3 "詰み"がまったく詰んでない。破棄した電話番号認証の二要素認証が有効でパスワードリセットしても2FAに阻まれ(バックアップパス無し)ログインできず電話番号変更はログイン後しかできないのを"詰み"というんだよ｡

はてブロ

nemoba ぶっちゃけパスキーになったとたんリカバリ準備を意識させられるから負担が増えてると感じるだけだよね。UXは物事さえも勘違いして捉えられるって話ではあるんだけど。

jintrick 「あり得る」かどうかといったら、大抵のことが「あり得る」んだよ。この言葉は常識と文脈で適切に判断しないと泥沼。

mohno パスワードリセットできるなら詰んでないよね。メールアドレスのドメインを失効させたら詰むかもしれないけど。/生体認証はトラブル時にリセット（変更）できないので、使いたいとは思わないんだよな。

Rambutan SP800-63Bの6.1.2.3には「Identity Proofing を終えた Subscriber が Authentication を完了するために必要なすべての Authenticator を失った場合, [SP800-63A] にあるように Subscriber は Identity Proofing プロセスをやり直さねばならない (SHALL).」とある

door-s-dev パスキーってパスワードみたいに簡単にリセットできるのかな。ってあたりがまだよく分かってないんよねぇ←できなそうな気がして導入に踏み切れない

ata00000 "知識情報 : 忘れる" だからIPAが「紙にヒントを書くのもアリ」って言ってる。https://www.itmedia.co.jp/news/articles/2211/08/news107.html パスキーでそういう対策はできるのだろうか。パスキー設定したスマホを2台持ちましょう、とか？