Security

パスキーについて

投稿日:

パスキー (Passkeys) というのは、パスワードを使わない代わりに生体認証を使う認証方法です。

上の記事とパスキーとは【用語集詳細】あたりを読んだところ、パスキーに対応したサービスでユーザー登録する際に、「ユーザーID(メールアドレス)」と「サービスのURL」に対して鍵(秘密鍵と公開鍵)が生成されるようです。そのうち、公開鍵はサービス側に保存され、秘密鍵は「マルチデバイスFIDOクレデンシャル」というキーに含まれる形となり、大手プラットフォームのクラウドに保存されます。クラウドに保存された「マルチデバイスFIDOクレデンシャル」は、ユーザーの持っている各端末に同期されて認証に利用されるのですが、その際には生体認証が必須となります。

あまり詳しいところまでは分かりませんでしたが、少なくとも今のやり方であれば「多くの方々が、この認証方法だけを使う」という状況にはならないと思いました。OS等のプラットフォームも対応していないといけませんし、サービス側の対応も必要です。また、秘密鍵を含んだ情報がクラウドに保存されて同期されるのも、どうなんでしょうか。クラウドの情報は漏れることが前提として考えるべきです。また、端末が壊れた場合に備えた手段も必ず用意されるべきでしょう。

他の認証方法も同時に設定できるのであればありだと思います。例えば、Google アカウントのように、「認証システム アプリ」「音声またはテキストメッセージ」「バックアップ コード」なども同時に設定できれば、スマートフォンが壊れても安心です。

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Web Security

Relative Path Overwrite (RPO) の動作について

Relative Path Overwrite (RPO) について簡単に説明します。

Web Security

パスワードに使える記号は明記して欲しい

パスワードに使える記号は明記して欲しいという話です。

Web Security

JVN iPediaに載っていた脆弱性を調査する

JVN iPedia という脆弱性対策情報データベースの Webサイトがあるのですが、そこに載っていた JVNDB-2016-005868 という脆弱性情報について調査する過程を紹介します。 調査 ま …

no image

クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: XSS attack on YouTube via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クロスサイ …

Web

PKCS #12 形式の証明書ファイルに対するコマンド操作

PKCS #12 形式の証明書ファイルに対するコマンド操作について説明します。