私はここ 10 年近く、パスワードはひどいものだと主張し続けており、パスキーというはるかに優れたアプローチを熱心に早期に採用した人物でもあります。
パスキーは、パスワードよりも安全でありながら、誰もが採用するほど使いやすいという、まさに理想のアプローチを実現するはずでした。しかし、新たな記事では、この技術の4つの問題点が指摘されています…
パスキーはパスワードよりも安全です
パスワードには、次のようなセキュリティ上の問題がいくつかあります。
- 暗号化されていると思われても、ウェブサイトはそれを知っている可能性がある
- 非技術者はパスワードを使い回す傾向があるため、データ漏洩は大きな問題となる。
- パスワードはフィッシング攻撃に対して脆弱である
パスキーはこれらすべてを解決します。ログイン時にユーザー名とパスワードの入力を求められる代わりに、パスキーの使用が求められます。このシステムでは、ウェブサイトやアプリがデバイスにFace IDまたはTouch IDによる認証を要求します。デバイスはウェブサイトに、私たちが誰であるか、そして身元を確認したことを通知します。
ウェブ サーバーは、Apple Pay 取引で決済端末が iPhone または Apple Watch を信頼するのとまったく同じように、デバイスを信頼してユーザーを認証します。つまり、ユーザーが生体認証を使用してローカルで認証されていることを知っているからです。
理論上はパスキーの方がずっとシンプルだ
アカウントを作成する際にパスキーを使用するオプションが表示されるはずです。それに同意するだけで、デバイスが認証し、サービスがアカウントを作成します。次回ログインする際は、Face IDまたはTouch IDを使用するだけで完了です。
しかし、4つの大きな問題がある
Apple デバイスのみを使用し、すべてのデバイスで Safari を Web ブラウザとして使用している場合、パスキーはほぼシンプルになります。iCloud同期により、1 つの Apple デバイスで作成されたアカウントに、他のすべてのデバイスからアクセスできるようになります。
しかし、Arstechnica が指摘しているように、ユーザー エクスペリエンスの一貫性の欠如をはじめ、現実が約束とかなり異なる状況が数多く存在します。
Windowsでパスキーを使ってPayPalにログインする操作は、iOSで同じサイトにログインする場合や、AndroidでEdgeを使ってログインする場合とは異なります。また、Firefoxでパスキーを使ってPayPalにログインするのは無理です。決済サイトはどのOSでもFirefoxブラウザをサポートしていません。
さらに悪いことに、パスキーは特定のブラウザに関連付けられています。
もう一つの例は、FirefoxでLinkedInアカウントのパスキーを作成する時です。私は様々なプラットフォームで様々なブラウザを使用しているため、1Passwordパスワードマネージャーを使ってパスキーを同期することにしました。理論上は、この設定によって1Passwordアカウントにアクセスできる場所であればどこでもこのパスキーを自動的に使用できるはずです。これは他の方法では不可能です。しかし、実際にはそう単純ではありません。LinkedInの設定でパスキーを確認すると、私が使用しているすべてのブラウザとOSで動作するにもかかわらず、Mac OS X 10のFirefox用に作成されたものと表示されます。
3 つ目の問題は、ユーザーが別の設定をしている場合や、すでにパスキーを設定している場合であっても、Google や Apple などの企業が、自社のパスキー管理システムの使用を強制しようとする可能性があることです。
1Passwordですべてのデバイスに同期されているパスキーを使ってLinkedInを開きたいだけなのに、このメッセージを発信している謎の組織(この場合はGoogle)が、このプロセスを乗っ取って、私に自社のプラットフォームを使うように仕向けようとしているようです。
また、WebAuthn.io の体験も参考にしてください。このサイトは、様々なシナリオでこの標準がどのように機能するかを実証しています。ユーザーがmacOSにログインするために物理的なセキュリティキーを登録しようとすると、パスキーの代わりにパスキーを使用し、iCloud 経由で同期するように促すダイアログが表示されます。
最後に、パスキーの本来の目的はパスワードによって生じるセキュリティホールをなくすことですが、ほとんどすべてのサービスではパスワード ログインも作成するように強制されます。
パスキーをサポートするサイトは数百ありますが、パスワードを完全に不要にできるサイトは私の知る限り一つもありません。パスワードは依然として必須です[…] 脅威アクターは、この欠点を突いたハッキングやソーシャルエンジニアリング攻撃を仕掛けてくるでしょう。そうなると、私たちは以前の状態に戻ってしまいます。
全文を読む価値は十分あります。
TheRegistiによるUnsplashの写真
www.planort.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
