パスキーの本質 - falsandtruのメモ帳

テクノロジーカテゴリーの変更を依頼記事元:

falsandtru.hatenablog.com

237 usersがブックマークコメント

パスキーの本質 - falsandtruのメモ帳

パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティ... パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。サービス側企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザー側の責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない。ユーザー側パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける

Falky 論点を「ユーザーは認証要素を適切に管理できるわけがない」に持っていくなら、まさにパスキーの優位性は「エンドユーザにパスワードマネージャの利用を強制する効果」にこそある、という話になるんじゃないの…？

2024/12/19 リンク

OKIIZO 反論の余地がある主張だとは思うんだけど、レスバしてるパスキーエヴァンジェリストへの印象が悪くなるだけのエントリで良かった。

2024/12/18 リンク

kenken610 この部分を無視して、ユーザーからしたらどうでもいい話ばかりして「ログインできなくなるの、大変っすよね、うん。それじゃ次の話題」くらいのノリで軽くしか触れない記事が今までに多すぎたんだよ

byourself そもそもパスキーが何か、どんなリスクがあるのかすら全くわかってないユーザが99.9%なのに、パスキー作れ作れ作れ作れ作れってログインするたびに言ってくるのはマジで頭がおかしいとしか思えない。

umaemong パスキーに夢を見すぎなんだと思う。啓蒙の仕方にも責任はあるとは思うが。パスキーはPW管理ツールがやるべき生成や保管を標準化してるだけだと考えたほうがいい。紛失やユーザー側からの漏洩のリスクは今まで通り。

megumin1 記事で引用されている「秋田の猫」の発言が典型的な詭弁ばかりで、こういう記事を思わず書いてしまいたくなるこの筆者の気持ちは痛いほどわかります。相手を煽る発言をチェリーピックしてはいるのでしょうけど。

urtz メール認証だけでパスワード無しのサイトもあるし、それにパスキーを加えればいい。パスキーの本質はメール認証にある。パスワードも喪失すればメール認証なので、パスキーも同様にすればいい

b-wind 何らかの復旧手段を用意する限りセキュリティの最小強度？は上がらないけれど、フィッシング被害を受ける機会が減るならばそれで良いかな。

kagerouttepaso 加えてパスキーのエクスポート/インポートの仕様が確立されておらず、パスワードマネージャーの移行が確立されてない。ユーザーの不利益をユーザーを無知蒙昧と断じて封じている印象がある。

dekaino パスキーは個人所有のデバイス/ストレージを必須とするから利用できる範囲が狭いのよ。ユーザーがみんなスマホ持ってる/使ってると思うなよ。ネカフェとかホテルにある共用PCから認証できなくなると困る人多いだろ?

potnips 「パスキーにするとより簡単にログインできます」って言うが、パスワード管理ツール使ってれば入力補完される。パスキーにするとメールに認証飛んで毎度コード入力の手順が増えるのでかえってめんどくさくて嫌いだ

Lhankor_Mhy パスキーだけに限定してセキュリティコードの発行もしないようなサービスが実在するのか。それは恐ろしいな。

セキュリティ

zu2 "あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる"

strawberryhunter 実はよく知らずPINのことだと思っていたのだが、基本的には公開鍵暗号を使って認証するが、実物のパスキーはそれをPINや指紋認証等で補強している。ユーザーが脆弱な鍵を作らないことが最大のメリットだと理解した。

未分類

NOV1975 太字の部分がことごとく身も蓋もねーなみたいな話で面白いんだけど、「に過ぎない」については逆に「については目的を達している」ということになので、成果ゼロよりだいぶマシであることも同時に示唆されてるよね

temtan 結局セキュリティの一番弱い部分は変わらないよねという話。自分もなんか理解しきれてない腑に落ちてないので使おうとはしてないな。

k-holy 一般ユーザーには無理だからこそパスワードマネージャを推してるんだろうけど、クラウドアカウント前提の仕組みだとそこの認証は必要って話か。日本のサービスなら、公的個人認証で貫徹できるようにならないかな。

yanqirenshi “このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパ

dot パスキーがパスワードの代替になるわけでは無いというのは同意するが、殆どのサイトでパスキーは選択肢を増やすために導入されてるし、実際パスキーの方が便性なので個人的にはバンバンパスキーを導入して欲しい。

sds-page 色んなサービスの復旧コード溜まってきて結局一か所にまとめがちなので「これ狙われたら終わるなー」と思ってる

wideangle “このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。”

rzi 〜に過ぎない、って論調多いけど極論&穿ち過ぎて逆に説得力ないよ。現実としてユーザー体験向上してるし、企業側もユーザー側もメリットあるならパスキーガンガン広がってほしい。

anonymighty 少なくとも現実の物理鍵と同じくらいの性能・リスクに近づけることができたので、これで文句いう人は現実の鍵にも文句言いなさいよって話になりませんか。

security

PrivateIntMain "パスキーはパスワード入力機会を減らすに過ぎずユーザーが真に求めるのはこのメリットにデメリットが一切ないようこれをパスワード同様端末非依存かつ端末と復旧コードを喪失しても復旧可能にすること" そうね。

John_Kawanishi ｢企業にとってPassKeyとはPasswordの定期的変更の最新版なのでありUserがPassKeyを強要されるのはPasswordの定期的変更を強要された歴史を繰り返しているに過ぎない｣

Security

britt フィッシングも一番弱いところ(パスキー再設定のためのパスワード等の認証等)を攻撃してくるからセキュリティは上がらない。毎回ログインパスワードを求められる金融系サイト等への導入はUXの向上に寄与するでしょ。

Rambutan “あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとすると” その前提になるのはFIDO2の問題でパスキーで解決されるのだと思うけど

misomico パスキーの本質はスマホ生体認証の外への拡張。多くのスマホユーザーが貴重な生体認証器を持つのに、スマホの中でしか使えないのはもったいない。ただ、最悪の場合4桁のパスコードに全てを預けることになる。

Phenomenon ただの「パスワード」から「パスワードマネージャーに登録された32byteのパスワード」になるくらいの違いはあるので改善されてますよ。パスキー喪失はサポートへ。サポート対応できないレベルだと文句は言っていい。

はてなブックマーク

パスキーの本質 - falsandtruのメモ帳

記事へのコメント55件

関連記事