パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。

サービス側

企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザーの責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない。

ユーザー側

パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける機会が減ることだけでありパスキーはセキュリティの最小強度の底上げにはならない。ユーザーが本当に求めていることはパスワード入力の手間とリスクを減らすこととこれを端末非依存にすることだけである。これを実現すると次のようになる。

あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる。復旧コードがあってもこの問題を複製しているに過ぎずそもそも一般的なユーザーが多数のサービスの多数の復旧コードを適切に管理できるわけがない。復旧コードは到底一般化不可能な復旧手段なのであり我々ユーザーはそういうものを管理するコストとリスクと責任を企業から押し付けられているのである。復旧コードを盗まれアカウントをハイジャックされて詰むリスクも押し付けられていることは言うまでもない。極めつけにユーザーが多数の復旧コードをいかに管理すべきかはユーザーに丸投げである。そこを掘り下げるとパスキーの欠陥があらわになるから言及できないのだろう。復旧コードを押し付けてパスワードリセットを取り上げる実装はクソだと断言できる。そして一般化可能な唯一の現実的復旧手段であるメール経由のパスワードリセットで認証を復旧するならば結局セキュリティの最小強度はパスワードから上がっていない(マジックリンクなども同様)。端末Bを追加し冗長化および認証情報の共有をしようとすると盗まれた端末から共有先を追加削除できないようにするなど認証情報を管理するためにさらに別の認証が必要になりパスワード認証に戻る。結局喪失に対してパスワード認証と同じ堅牢性を保とうとするとパスワードに回帰することになりパスワードから離れられないのである。従ってパスキーはパスワード入力機会を減らすに過ぎずユーザーが真に求めるのはこのメリットにデメリットが一切ないようこれをパスワード同様端末非依存かつ端末と復旧コードを喪失しても復旧可能にすることだけなのである。近年お題目に上がり鼻につくようになったパスワードの廃止や根絶は非現実的なイデオロギーと幻想でありIT業界のいつもの見慣れた誇大広告に過ぎない。

なお認証情報の共有には仲介するクラウドベンダーなどに認証情報を開示しなければならない問題があるため共有する認証情報をE2E暗号化すべきであるがこのE2E暗号化および復号もパスワードに頼ることになる。結局不特定多数の個人が対象となる限りどれほどセキュリティを強化してもパスワードを完全になくすことを一般化することはできないのである。

この記事は今1時間で書き殴ったものなので雑書きなのはご了承。

---

パスキーのエバンジェリスト兼アドカレ主催者の抜粋コメントがあったのでいかほどのものか見てみよう。

> ユーザーが本当に求めていることはパスワード入力の手間とリスクを減らすこととこれを端末非依存にすることだけである。

そもそもユーザーが何かを求めているとでも？

— 👹秋田の猫🐱 (@ritou) 2024å¹´12月18æ—¥

> ユーザーが本当に求めていることはパスワード入力の手間とリスクを減らすこととこれを端末非依存にすることだけである。

そもそもユーザーが何かを求めているとでも？

こうやってセキュリティ関係者がユーザーのニーズを考えずユーザーを唯々諾々と従うべき無知蒙昧の徒であるかのように見下して独りよがりな開発と導入を強引に推し進めているからユーザーに不便を強いて反発されているのである。

> あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる。

パスキーでも詰むって話。勘違いする人が多いが、詰まない認証方式など存在しない。

— 👹秋田の猫🐱 (@ritou) 2024å¹´12月18æ—¥

> あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる。

パスキーでも詰むって話。勘違いする人が多いが、詰まない認証方式など存在しない。

ログインできなくならない認証方式など存在しないという極論に走っているに過ぎない。ユーザーが求めているのはパスワードと同じくらい詰みにくい認証方式である。補足するとここでパスワード認証はメールでのパスワードリセットが当然可能であることを含意しておりパスキーで復旧コードを要求されパスワードリセットを利用できなくなる場合の問題と対比したものである。

> 近年お題目に上がり鼻につくようになったパスワードの廃止や根絶は非現実的なイデオロギーと幻想でありIT業界のいつもの見慣れた誇大広告に過ぎない。

聞いてますか！FIDOアライアンスの皆様！

— 👹秋田の猫🐱 (@ritou) 2024å¹´12月18æ—¥

> 近年お題目に上がり鼻につくようになったパスワードの廃止や根絶は非現実的なイデオロギーと幻想でありIT業界のいつもの見慣れた誇大広告に過ぎない。

聞いてますか！FIDOアライアンスの皆様！

聞いたらどうだというのかね。

> 結局不特定多数の個人が対象となる限りどれほどセキュリティを強化してもパスワードを完全になくすことを一般化することはできないのである。

「パスワードをなくす」ことよりも「世の中を安全にする」ことを目指していきたいですね。

— 👹秋田の猫🐱 (@ritou) 2024å¹´12月18æ—¥

> 結局不特定多数の個人が対象となる限りどれほどセキュリティを強化してもパスワードを完全になくすことを一般化することはできないのである。

「パスワードをなくす」ことよりも「世の中を安全にする」ことを目指していきたいですね。

誇大広告を指摘した直後の段落に書かれた文にもかかわらず文脈を考慮せずこのように切り出した解釈しかできないのでは読解力がないと言わねばならない。なぜ「完全になくすこと」が対象にされているのか考えようと思えば明らかであることを読み取れていない。

ところで太字でない部分もコメントしてるのに太字で書いてるそもそも一般的なユーザーが多数のサービスの多数の復旧コードを適切に管理できるわけがないという部分にコメントがないのは非常に残念である。