- プライムタイムに向けた準備がまだ整っていない技術:パスキー技術はエレガントだが、使うにはセキュリティ面で不十分
- パスワードの代替として注目されており、フィッシングやデータベース侵害に対する強力な防御策と見なされている
- FIDO2とWebAuthnの仕様はエレガントだが、ユーザー体験は依然として複雑
- 数百のサイトと主要なOS・ブラウザでパスキーをサポートしているが、プラットフォームごとに実装方法や一貫性のないワークフローが異なり、使い勝手を損ねている
- たとえば、同じサイトでもiOSとAndroidでログイン体験が異なり、一部のブラウザではまったくサポートされていない
- 各プラットフォームは自社のパスキー同期オプションを事実上押し付けており、ユーザーが別の選択肢を選びにくくしている
- パスキー実装はユーザーが簡単に使えるようにすべきだが、現状はそうなっていない
- 1Passwordのようなセキュリティ管理ツールを通じてパスキーを同期すれば問題を解決できるが、これはパスキーの根本的な利点であるパスワードレス認証の趣旨を弱めてしまう。
- さらに、ほとんどのユーザーはいまだにパスワードマネージャーを使っていない
- パスキーをサポートするサイトのうち、パスワードを完全に排除したところはない
- SMSベースのMFA認証は依然として脆弱であり、パスキーの安全性を損なう
- 企業環境では、パスキーはパスワードと認証器の代替になり得る
提案
- セキュリティ管理ツールの利用: 1Passwordのようなツールでパスキーを同期し、MFAを有効にしてセキュリティを強化
- MFAを優先して利用: 可能であればセキュリティキーまたは認証アプリを活用し、多要素認証を有効化
- パスキー導入の検討: パスキーは最終的には有望だが、現時点ではパスワードとセキュリティ管理ツールが依然として不可欠
結論
- パスキーはパスワードのセキュリティ問題を解決できる可能性が高いが、現時点では技術的制約と使い勝手の問題により、完全な代替手段ではない
- 今後改善される可能性は高いが、現時点では既存の認証方式を併用するのが最も合理的な選択である
2件のコメント
パスキーは私も Bitwarden に入れて使っています。
名前を一つひとつ登録できるようになっているのを見ると、パスキーを一つだけ作って同期しながら使うことを前提にした技術ではないようにも思います。デバイスごとに一つずつ作れという趣旨のようですが、正直面倒ですよね。
Hacker Newsの意見
ある並行宇宙では、すべてのコンピューティングデバイスメーカーに対し、ユーザーがセキュリティ認証情報をプラグインできる保管場所を提供することを義務づける法律が存在する。現在のパスキーのアプローチは、ユーザーが単一のエコシステムに完全に没入するという架空のモデルに基づいて設計されている。
パスキーは、Yubicoが望んでいた形ではハードウェアキーを使って認証するものだったが、Apple、Google、MicrosoftはOSを通じて魔法のように認証することを好んでいる。
OSベンダーは、ユーザーがOS外のソフトウェアやハードウェアを使わないことを望み、クラウドベースのパスキーを使うよう誘導している。
理想的な将来の状態は、ブラウザ設定で新たに登録された認証情報の提供元を選択できることだ。
TOTPも似たような問題を抱えており、多くのパスキー保管場所はエクスポートを許可していない。Bitwardenは例外的にパスキーをエクスポートできる。
パスワードからパスキーへの移行は、現代のインターネットセキュリティモデルにおける大きな変化であり、人々が慎重で賛否が分かれるのは当然だ。
パスキーを好む少数派のユーザーとして、iCloud Keychainと1Passwordにパスキーを作成している。より良いエクスポート/インポート機能が必要だと思う。
パスキーは見えないブラックボックスであり、一般ユーザーはバックアップできない。実装は未完成の状態で、攻撃対象領域もより大きい。
FidoはWebサイト/フレームワーク/ライブラリのサポートが不足しており、パスキーは失敗した製品だと思う。ユーザビリティの問題のせいでパスキーを信頼できない。
技術系ユーザーとして、パスキー認証セッションの長さが短いためGoogleの利用をやめた。頻繁に再認証しなければならない不便さがある。