Passkeys - FIDO Alliance
https://fidoalliance.org/passkeys/
password(パスワード)のような、悪用に対して脆弱な情報をサービス側が保持する必要がないのがメリット。
ユーザーは自身の所有物が危険に晒されないようにすればよく、他人任せの運否天賦の要素がほとんどない。
他の認証方式と比較してもフィッシング詐欺に強いらしい。
{知識認証}{所有物認証}{2024-08-30}{パスキー}{生体認証}{2要素認証}{2段階認証}(7)
無銘卵(^むめいらん)
{パスキー認証の場合だけ K#804C/A62B}
- 2024-08-30
- 知識認証について追記
パスキー認証の場合だけ二段階認証を省略してもらえないものか。
パスキーの生体認証が通っている時点で、携帯端末等のセキュリティを通過していることはほぼ明らかで、二段階認証のセキュリティも同時に突破されていると言ってもよいため。
パスキーで二段階認証を求めるなら、パスワードとパスキーの両方を求めたほうがまだマシな気もしているが果たして。
生体認証が使えない端末でもパスキーの作成は可能。その場合、端末の暗証番号を入力したり指で図形をなぞったりする知識認証がパスキー照合の手段になり、同じ知識認証であるパスワードとの差がない。
その場合ワンタイムパスワードに代表される所有物認証を組み合わせる二段階認証は二要素認証となるため、パスキーにも二段階認証は残しておいたほうが安全という考えに至ったが、そうじゃないな。パスキーの基本は所有物認証。それに生体認証や知識認証を組み合わせている時点で二要素認証になっている。だから、そこに同じ認証要素で二段階認証を足してもあまり意味がないことには変わりない。
{パスキー}{GitHubにPasskeyを設定した}{生体認証}{ログイン}(4)無銘卵(^むめいらん)
{あれ K#804C/EC28}
GitHubの場合、スマホで設定したパスキーがあればスマホの生体認証を用いてPC用ブラウザからログインできるのがすごい。
{お好みでペッパーを足して}{パスキー}{メシマズ}(3)無銘卵(^むめいらん)
{そして生まれる謎料理 K#804C/3571}
パスキーはメシマズ要素。素材をぶち壊す概念。
その人しか持ち得ない証明であり、他人に取って代えられない。
{ITリテラシー}{第一候補}{ソーシャルログイン}{パスキー}{セキュリティ}(5)無銘卵(^むめいらん)
{日本におけるソーシャルログインの第一候補 K#804C/12FB}
Appleでログインかなぁ。
Googleアカウント所持者は、リアルの身近では思っていたより少なかった。
まあ、iPhone所有者でも「Apple」が通じない可能性はある。
次点でLINE?
「〜〜でログイン」という言葉遣い自体が通じない可能性もある。
パスワードという言葉を知らない人はソーシャルログインを選びやすい気がする。
ITリテラシーの低い人ほどセキュリティに強くなりそう。
ソーシャルログインを推奨すると結局海外資本のどでかい企業に絞られるんだよなぁ。
だとするとパスキーの方がまだ選択肢としてはありなのかな?任天堂が採用してるし。
{パスキー}