パスワードにはコストがかかるようになる。

 (fy.blackhats.net.au)
1 ポイント 投稿者 GN⁺ 2023-07-14 | 1件のコメント | WhatsAppで共有
  • 「パスキー」への大きな関心と、認証方式が変化する可能性
  • パスキーへのこだわりは、セキュリティキーの利用を不要にしてしまう可能性がある
  • 問題は、レジデントキーとノンレジデントキーの違いにある
  • レジデントキーは秘密鍵をセキュリティキー自体に保存し、ノンレジデントキーは復号のために資格情報IDに依存する
  • レジデントキーはセキュリティキーの容量を消費し、すぐにいっぱいになる可能性がある
  • ノンレジデントキーも依然として安全であり、TLSと同じセキュリティ機能に依存している
  • レジデントキーがなくてもユーザー認証は可能である
  • 問題は、パスキーに対する過剰な宣伝と、その定義に対する混乱から生じている
  • パスキーは当初、AppleによってTouch IDやFace IDをWeb認証子として使う方法として紹介された
  • パスキーの定義は変化し、現在ではレジデントキーを意味するようになっている
  • この定義は広く浸透し、セキュリティキー利用者に問題を引き起こしている
  • セキュリティキーは保存容量が限られ、資格情報管理も不十分なため、レジデントキーの利用が難しい
  • すべての登録でレジデントキーを必要とする要件は、ユーザー体験を低下させる
  • これは、ユーザーが望む認証子を選べるという目標に反している
  • パスキーの世界では、いくつかの認証子タイプだけがまともに機能する
  • 問題解決の提案として、セキュリティキーをパスキー必須要件から除外し、認証済みデバイスに対する保存要件を義務化することが挙げられる
  • 全体として、パスキーとしてのレジデントキーに対する過剰な宣伝は、ユーザーが好みの認証子を選ぶ能力を損なっている。

関連記事

1件のコメント

 
GN⁺ 2023-07-14
Hacker Newsの意見
  • 物理的なセキュリティキーは、スマートフォンやデスクトップの二要素認証機能がないため、パスキーとして最適な選択肢ではない可能性があります。
  • パスキーは、iCloudキーチェーンを通じて同期された鍵ペアとして定義されており、その定義は他のクラウド同期方式にも拡張されています。
  • セキュリティキーは大半のユーザーにとって重要ではなく、パスキーはパスワードを置き換えるより良い選択肢です。
  • パスキーとレジデントキーのためのプロトコル設計は、潜在的なセキュリティ問題や互換性の問題があるとして批判されています。
  • レジデントキーとセキュアエレメントの現状は混乱しており、改善が必要です。
  • セキュリティや暗号学の背景知識がない人にとっては、この記事を理解するのは難しいかもしれません。
  • 新しい認証標準にアップグレードするには、新しいハードウェアキーに資金を投じる必要があるかもしれません。
  • ハードウェアキーは保存容量が限られており、大容量保存のために安全なプロセッサを追加するとコストが増える可能性があります。
  • この記事は、パスキーとその影響について明確な説明を提供しています。
  • 一部のユーザーは、パスキーの同期のためにGoogle、Apple、またはMicrosoftに依存したくありません。
  • ハードウェアベースのトークンとレジデントキー同期のための集中型ソリューションが求められています。
  • デバイスが紛失したり侵害されたりした場合、何かを所有して認証する方式は問題になり得ます。
  • 一部のユーザーは、パスキーが政府や企業に過度な統制力を与え、プライバシーとセキュリティを損なうと考えています。