NIST SP 800-63B へー
343435
“パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている”
取り敢えずTOTPはサーバ側がクライアントを検証してないのでバイパス攻撃に対し脆弱だけどパスキーは検証される、位の認識で良いかと。(ユーザが証明書を使いこなせばTOTPでも十分だろうけど非現実的)
“RP(認証するサービス側)はuserVerificationの値によって、パスキーの挙動を制御できる” 複数デバイス共有禁止とかできるってことだろうか?
パスキーの仕様にUVフラグがオフ、があるのであれば総体的に見て多要素認証とは言えない、ってなっちゃうかな。UVフラグって利用者は確認できるの?
パスキー + TOTP の組み合わせを選びたい感じがする。 https://zenn.dev/ritou/articles/ac61682ee8ee01
どっちかというとクライアントサイドの方が気になる(ブラウザがOSを介してTPMへアクセスする時にマルウェアが関与する余地があるかどうかとか、端末側認証が生体認証だと認証の意思があるかどうか不安とか)
想像以上に素晴らしい記事だった。
利用者的には、パスキーは『適切に設定されたパスワードマネージャ』ぐらいの感覚。ドメイン検証のうえ、安全なパスワード(的なもの)の送信可否ダイアログを出してくれて、要生体認証。僕の手動より安全だと思う。
えー、知らんかった。パスキーを使うのに生体認証などの仕組みは必須要件かと思ってたわ。オプショナルだったとは。
証明書ベースの認証と言えば済むような気がするのだが、足りんのか?多要素を求める要件って誰が求めてるんだろ?
パソコンでのパスキー利用時に生体認証が使えない場合、Windows だと Windows Hello によって PIN 入力が要求される気がする。であれば something you know を満たせる。「何も問われない」ケースはあるのかなぁ。
基本的にUVが立たないことはないと思って良いはず
あ、よも。
UV = false なら SMS の MFA する、みたいなガイドラインがないと、現段階だと俺々パスキー MFA が跋扈しそう
あとで読む
ところでUVフラグのチェックをサーバー側でやっているかどうかはみんなチェックしたほうがよい。MacのクラムシェルモードでUVを要求しているにもかかわらずUVが必須とならないバグ(仕様)が発見されている
「多要素ならOK」とサマられがちだが、もっと解像度を上げて「ある認証方式が単体でどこまで安全なのか、不正ログインのリスクがどれだけのもので、許容できるのか」まで考慮できるともっと深い理解が得られそう。
パスキーの安全性について - cockscomblog?
NIST SP 800-63B へー
343435
“パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている”
取り敢えずTOTPはサーバ側がクライアントを検証してないのでバイパス攻撃に対し脆弱だけどパスキーは検証される、位の認識で良いかと。(ユーザが証明書を使いこなせばTOTPでも十分だろうけど非現実的)
“RP(認証するサービス側)はuserVerificationの値によって、パスキーの挙動を制御できる” 複数デバイス共有禁止とかできるってことだろうか?
パスキーの仕様にUVフラグがオフ、があるのであれば総体的に見て多要素認証とは言えない、ってなっちゃうかな。UVフラグって利用者は確認できるの?
パスキー + TOTP の組み合わせを選びたい感じがする。 https://zenn.dev/ritou/articles/ac61682ee8ee01
どっちかというとクライアントサイドの方が気になる(ブラウザがOSを介してTPMへアクセスする時にマルウェアが関与する余地があるかどうかとか、端末側認証が生体認証だと認証の意思があるかどうか不安とか)
“パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている”
想像以上に素晴らしい記事だった。
利用者的には、パスキーは『適切に設定されたパスワードマネージャ』ぐらいの感覚。ドメイン検証のうえ、安全なパスワード(的なもの)の送信可否ダイアログを出してくれて、要生体認証。僕の手動より安全だと思う。
えー、知らんかった。パスキーを使うのに生体認証などの仕組みは必須要件かと思ってたわ。オプショナルだったとは。
証明書ベースの認証と言えば済むような気がするのだが、足りんのか?多要素を求める要件って誰が求めてるんだろ?
パソコンでのパスキー利用時に生体認証が使えない場合、Windows だと Windows Hello によって PIN 入力が要求される気がする。であれば something you know を満たせる。「何も問われない」ケースはあるのかなぁ。
基本的にUVが立たないことはないと思って良いはず
あ、よも。
UV = false なら SMS の MFA する、みたいなガイドラインがないと、現段階だと俺々パスキー MFA が跋扈しそう
あとで読む
ところでUVフラグのチェックをサーバー側でやっているかどうかはみんなチェックしたほうがよい。MacのクラムシェルモードでUVを要求しているにもかかわらずUVが必須とならないバグ(仕様)が発見されている
「多要素ならOK」とサマられがちだが、もっと解像度を上げて「ある認証方式が単体でどこまで安全なのか、不正ログインのリスクがどれだけのもので、許容できるのか」まで考慮できるともっと深い理解が得られそう。