2024-12-14

パスキーパスワードを無くす(キリッ)

とか傲慢なこと主張してたのはずっと忘れない。

要はもともとはFIDOのキーを端末に埋め込んでしまえというだけのアイディアです。

ssh の 鍵方式と何も変わりません。

この鍵が自宅のワークステーションの中にあり、内部に入るための鍵が必要だったり、ケンジントンロックで縛られてるのであればセキュリティリスクも低いでしょう。

でもスマホにいれるとなると話が変わりますよね。

パスワードは人類には早い。パスワードを無くしたい。と言う気持ちはわかりますが、じゃあブラウザパスワードを記憶させれば良い。

え?ブラウザパスワード記憶を信じられないですって?

そんな危険ブラウザアンインストールして一生webを見ないでください!😂

という感じです。

すでにパスワードマネージャー(ブラウザパスワード管理機能)が対応できているものを、別の穴を開けて作り直している。複雑な機構を作って混乱しています

パスワードマネージャーならパスワード認証サイト全てに対応します。パスキーは?

パスキー最初パスワードをなくせるとか夢物語すぎる、無理だろう。って思ってました。

そのうち大手とかが本格的にやるって言ってて、ええ?GoogleとかAppleが言うなら実は本当にパスワードを無くしてセキュリティ上がるのか!?って思ってました。

今では端末壊れても大丈夫なように鍵をバックアップするとか言い出してて、それデバイスの中に鍵をいれる必要ないよね。鍵複製できてるよね、複製した鍵をGoogleとかAppleバックアップ取るよね、ベンダ間での相互の鍵をやり取りする試みまで提案される始末で、安全とは?セキュリティとは?みたいになっている。

トラスト、信用が必要対象が盤面に増えすぎてて、明らかにセキュリティ強度が下がっている。

パスワード単体であればセキュリティ問題自分自身だ。

大企業から「お前はパスワード一つ扱えないバカから俺が鍵を預かっててやるよ」という傲慢な態度が伝わってきます

さてパスワードすら扱えない猿が、私にすら意味不明で複雑怪奇パスキーを扱えるとおいますかね?無理では?

最初アイディアは飲めるよ。

デバイスに鍵を入れておく。

そのデバイスの鍵で署名してデータを送り出してサーバー側で本人であることを確認するんだ。

とても単純です。パスワードが鍵になったんです。

パスキーですよ!なんてシンプルで単純なんだ。

でも、デバイスが壊れたら?デバイスPC連携は?バックアップを誰がどこで管理するの?

さぁ、地獄の扉は開かれました😉

本当にセキュリティ強度が上がると主張するのなら、きっとTORブラウザ真っ先に実装してるはず…

え!!ええええええ!!!TORブラウザはパパパパスキー対応していないいいい!???

えええ、パスワードよりもセキュリティが上がるはずのパスキーを、セキュリティ極北であるTORブラウザさんが非対応ですててえええ!!?

まぁ将来的に実装する可能ゼロではないんだろうけど、多分TORパスキー実装しないだろう。その前にパスキーの煩わしさとかが巷にあふれるようになって誰も使わなくなる。

んで、使いたいという人がいなくなって明確に実装しないって決定が出そう。

パスキー筋悪いと思うんだが、何でみんなパスキーに期待してるんだろうか。

この鍵は俺が俺自信であることを証明するための鍵であって、この鍵をGoogleApple管理するならば、それはもう俺の鍵ではないし、関連するアカウントは全て汚染される。

いやまぁ信じているならばそれで良いんだが、自分が誰と一体何の契約を交わしているのか、パスキー使ってる人がわかってるとは思えん。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん