多くの一般人は自分がいるクライアントサイドからの情報漏洩はまだ想像できてもネットワークの向こう側のことはイメージできず「ローカルの端末で意図せずロック解除される」リスクの方を過大に恐れている気がする
標準化しつつある。
“デバイス紛失時のリカバリ「パスキーを2つ以上の端末に登録しておく」のが安全策です。”って端末2つ持ってない人をどう見てるんかな。
認証の民主化というより管理の集約化だよな。スマホ無くした時の絶望感が加速する
公開鍵による認証ってだけなら新しくはないんだよな。そこを意識させないようにした結果逆に問題が出ている気がする。公開鍵認証なら普通に秘密鍵をファイル保存するから。
スマホを2台持っていないと安心できない時代へ。サンフランシスコのエンジニアたちは2台持ち当たり前なので、サンフランシスコのエンジニアたちに倣って2台持とう
パスキーのセキュリティ的メリットとスマホなどのデバイスによる利便性のメリットは分かるのだが、スマホ複数台持ちが普通でない状況でのスマホ損失時のリスクが面倒くさすぎる……のが個人的最大の欠点。
パスキーを理解して、パスキー使えるサービスはどんどん移行している。1Passwordなどと組み合わせると便利。
WebAuthnの際にChromeを推奨するのはいいのだが、推奨に留まらずUA(-CH)で見分けてChromeじゃないですってブロックしてくる奴らが少数いて、こいつらにドス黒い感情が湧く
『紛失時のリカバリ』に語弊がある。(パスキーでもパスワードでも)認証情報を無くしたなら、それ以外の手段(SMS等)で”アカウントをリカバリ”することになる。"パスキーをリカバリ"するわけではない。/コメ書いてきた
パスキー対応しましたって言ってID入力させてパスキー認証させるとこあるけど、IDだけではパスワードマネージャーで自動入力されなくて、パスワードマネージャーの時より不便になるサイトある
パスキー対応を謳いながらパスキー作成がサイトのどこでも出来ないとか(楽天おめーだよ
IT系の試験によく出ます👨️💻️
秘密鍵が端末から出ていかないのにどうやって同期してるの?と思った。多分ちゃんと対策してるのだろう、角度とか。 / あいかわらずユーザーはどうすればいいのか?の観点はないのね。
パスキーは1端末にしか入れられんやつがたまにあるのでまだなくなるのは遠い気がする。そして端末無くした時の恐ろしさよ。この辺がまだこなれてない気がする。
昔は端末ローカルにしか保存できなかったから敬遠してたけどGoogleがアカウント保存になったから積極的に使ってる。PCだとQRコードが出てスマホでパスキー認証するタイプもあって手段としては悪くないね。
パソコン持ってる人が減った今、スマホ2台持ちは富豪、社畜、不倫、パパ活、ガジェット系YouTuberなどの特殊な人だけなので割と少数派だと思うんだがな…
2台あると楽ってだけで、端末1台でそれを紛失しても新端末買ってリカバリはできる ”リカバリ手段の設計はサービスごとに違います。ユーザー目線では「パスキーを2つ以上の端末に登録しておく」のが安全策です。”
この記事に鍵らず技術的な説明は割愛して「利用するときの具体的な操作」に絞った方がいいと思う
PCレス・スマホレスで機能する安価なパスキー認証特化端末のようなものが出てきたら手を出しやすくなるかもしれないなとは思う
iPhone 1台しか持ってない場合、紛失したら次も iPhone を買わないといけない、というところが一番重要なポイントだと思う。アカウントのリカバリ手順がしっかり紙で管理できているなら、なんとかなるかもしれない。
いろんなIDが50個あったとして端末2台に設定するにしても100回の手続きをするの自分の性格だと何年かかるだろう
言うて、今は「端末」だけなら2個以上持ってる人のが多くない?古い端末転がってるでしょ。中高生なら別だけど。
新しいiPhoneが出たから買ったって人は日本には多いと思うけど、そういう人は古い方のIphoneを手元に残しておけば、そのまま2台めのパスキー端末として使える(デバイス限定パスキーは使えないが)。
パスキーとは違うと思うんだけどamazonの二段階認証がQRコード読ませるタイプで、iPadから見た時に私は2台持ちだから行けたけど1台だったら詰んでたのでは?と思ったことがある。
今時、それ以外の本人確認でリカバリできないことないから、頑張ってバックアップとか考えなくていいよ。/ あと心臓部は電子署名認証であって公開鍵が最も適してるだけかな。
パスキーはビッグテックがお前らユーザーを完全に閉じ込める手段。インターネット全体を使うためにApple/Googleのデバイスに認証を委ねるってかなりリスキーだけどみんな疑問に思わないんだな。 Google垢バンされたら?
あとでよむ
同期パスキーは垢BANが怖すぎるんだよなぁ。
鍵の保管場所がリスクに変わるだけで特に安全ではないのと、それを補うために生体認証と組み合わせる事が最大のメリットではあるけど常に生体認証が使えないと肝心のサービスが使えないデメリットが知られていないの
パスキーの仕組みをSIMのハードウェア・セキュリティ・モジュールの中に入れてしまえ。という発想が日本通信のFPOSという仕組みらしい。SIMを止める操作をすると認証もできなくなるが。
パスキーはパスワード管理ソフトに登録しておけばよい。
パスキーってトータルの体験が良くないんだよな。サービス毎に追加認証機だったりパスワードレスだったりバラバラだし、リカバリ手順も標準がない。iPhoneと1passwordで認証手順が違ったりして詳しくない人に勧めにくい
iPadでdiscordにログインしようとしたら登録した覚えのないパスキーを求められて詰みそうになった。Appleなど各社の仕様の混濁が問題
パスキー対応サイトは、アカウント作成時にパスワードマネージャー(PM)かyubikey等の認証機器のどちらを使うかを選択できるはずなので、個人ではPM使って、法人では個人に紐づかないyubikey使えば良いと思ってる
PCに指紋認証パーツを付ければPCとスマホでまぁね。追加ではなかなか買わない。カードリーダーみたいに。
パスキーは端末1台しか許容しなかったり実装側がまずいことが多くて安易に移行できない
"2つ以上の端末に登録しておく" 一応バックアップ用に以前使っていた端末は捨てずに保持しているが、既にセキュリティサポートは終了しており「そんな端末をパスキーにするのセキュリティリスクでは…」と思う
忘れての出先とかで、端末を持ってねえよといった時にネカフェでメールチェックしようにも手も足も出なくなるん?
デバイスありきなのは引っかかるよね。何十年後にはマイナと連携したりするんだろうか
あらゆる部分が微妙な記事。「パスキーよく分からない、おすすめ記事ない?」と聞かれてもおすすめしたくない記事。 / トップコメ、iPhone紛失時にiPhone買えばパスキー復旧できるってホントに?確認した?
使ってるけど、まだ事業者側が「わかってない」状況がありすぎる。docomoはひどかった。
自分の理解もあやふやだし、高齢の両親に説明できない。しかし銀行や証券会社はどんどんパスキーに移行していく。
パスキー最大の問題点が、ちょっとした事故で取り返しがつかなくなること。リカバリーの手段を用意してくれているところなら問題ないが、どこもかそしこもパスキーになると復旧手段が実質ないところだらけになりそう
「パスキーを2つ以上の端末」ねーよ
人間でなく、ツールだけどツールでない奴がアタックしてくるような世の中でネットセキュリティって何やろうな?って感じではあるが・・・
ロマン優光が『フリースタイル』の記事に「江口寿史の名誉回復したいなら批判側にこそ立たないと」と言ってのと同じで、パスキーの記事はどれも、懐疑側・消極側の論点をあっさり簡単に流し過ぎ。
複数端末とかgoogleやappleのアカウントありきとか、前提が多すぎる。ユーザー側に暗記(脳)以外の前提を要求しないパスワードのお手軽さの方が、堅牢さ(詐欺対策)よりもはるかにユーザーに訴求すると思うが。
秘密鍵を他の端末にコピーできたりバックアップできたら引き継ぎできるんだろうけど、ユーザー操作で秘密鍵を外に出せると漏れるリスクがあるからなあ。
平たく言えばスマホがキーということだよね。改造趣味もそろそろ控えねばならん時代か。あるいは認証専用として無改造を1台取っておくか。
“パスキーのポイントは2つあります。ユーザー体験:指紋・顔・端末ロック解除のPINだけでログインできる 裏側の仕組み:パスワードのような「文字列の秘密」をサーバーに送らない”
スマホアプリでパスキーを作った後のPCブラウザでログイン時のやり方とかサイト毎に違って混乱することがある。銀行とか。
ドコモがユーザが2年でちゃんと端末返却するので大赤字って言ってたけどみんな1台運用が普通なんだと思う
ああ、00年代初頭あたりまでの、牧歌的なインターネッツ環境はもうこの世には無いのだなあ・・・。
やると便利なんだろうな〜と思いつつも山になった自動生成パスワード管理シートがあって元気でないんだよな…腰が重い…
わかりやすいパスキーの解説。
パスキーの復旧ってほぼリカバリコード入力で復帰するから全体のセキュリティ強度はパスワード単体と同じ強度になってしまう、それでもUX上フィッシング被害は減る。パスキー最強ってのは勘違いを産みそう。
1passwordに保存してる。重複や分散は民には難しい
パスキー専用のトークン端末を安く作ってくれよ。機種変で死ぬから。
なんかちょっとずつ浅い気がする。こちらの一連の歴史的経緯の方が分かりやすいと思う。 https://blog.jxck.io/entries/2025-07-07/load-to-passkey-0.html パスキーの本質はネットを介した同期であり、そこをどう死守するか。
仕事用のパスキー環境と、個人用のパスキー環境で色々変わるところもある。個人は2台デバイスがほしい🤔
Bitwardenに登録してる。端末依存だと急な故障で困りそうなので
そもそも、まともにログインできないサイトもあるから様子見が無難。MSみたいに平文でローカルに保存している場合もあるし…
複数の端末での利用、がよくわからない…
私は諦めて 1Password。そもそもブラウザや Apple/Google に依存するのは良く無い。テクノロジーは時代と共に変わっていく。
デバイス紛失が心配ならhttps://www.amazon.co.jp/dp/B0BVNRXFHT でも買ってコレに紐付ければ良い
端末の故障・紛失で詰まないかとか、多種多数のアカウントがある場合にスマホの機種変でとんでもない手間がかからないかとか、いろいろ心配がぬぐえず、パスキーという言葉を聞くたびにイライラしている
歴戦のブクマカが端末一個しかないやんつらいやでの話をしてるけど、もうIDとパスワードはだるい、ってこともわかってそうな人たちなので気持ちの落としどころなんじゃろな。おれは賛成、馬鹿みたい。
まだ過渡期だから落ち着くまで混乱続きそう。野村証券はPCでのログイン時にブルートゥース必須とかいうゴミ仕様で苦労した
分かりやすいけど何でこのシーケンス図、認証器をブラウザの右側に書いてるの。どう考えても認証器の方がユーザー&ローカル寄りでしょ。サーバーとの直接通信回数なんてゼロ回だし。
MacとiPhoneでパスキー共有できてるので快適。
パスキーがパスワードを置き換えるものならリカバリ手段も今までと同じようにSMS/メール/自動通話等で用意してくれればいいのになぜか締め付けられて利便性が低いサービスが多いのがネック
パスワードの再設定でメール認証するけど、二段階認証でメール認証もするなら、パスワードは無意味に感じていた
#パスキー #FIDO 「生体情報~誤解されがちですが~秘密鍵は端末の中で厳重に保管~サーバーには公開鍵しか渡らない~課題~機種変更~デバイス紛失」暗号復号お勉強省かれる婉曲表現続く限り機種変時の鍵行方不明で詰む定期。
参考
パスキーの安全確保のために生体認証します。それなら、従来のパスワードを生体認証に置き換えるだけでよくない。
パスワード、もういらないなんて、楽ちんにゃ!
『同期パスキー』 これがちょっとセキュリティ的にすげー良くないんじゃないかと思ってるやつだ
なんで公開鍵と秘密鍵の両方あると安全なのかよくわからなかった そこが書いてなかった残念
何はさておき、私が今できることは https://www.youtube.com/watch?v=Ao2tY0J-xyE のURLを示しておくことくらいだ。
検証結果の取り出し含めての「パスキー」なのか?
今までのパスキーの記事で一番わかりやすかった。ブコメで記事の内容ではなくパスキーの仕様自体のいちゃもんが多いのは、みんな理解できた証。
パスキー対応は機種変更対応必須だよ、勘違いしてる人いない?
FIDE2と物理キー2個以上が安定すると思うけどね。
公開鍵方式がこんな簡単に使えるようになるなんて本当にすばらしい時代だよなあ。あとは秘密鍵の作り直しがもっと簡単になるといいのだが。メールやメッセージに署名や暗号化ができるとかもできるようになるといいな
パスキーの仕組み
パスキーを保存した端末が使えなくなったときのことを考えたら、結局パスキー以外の何かが必要になっちゃうんだよなぁ
開発者としては、お金や秘密情報を扱わない(そしてユーザーからお金取れない)サービスにもパスキー対応を求められるのは重たいので、TOTP(認証アプリ)が普及して欲しいんだけども…。
パスキーの懸念点は堅牢性と表裏一体
復旧経路は攻撃面になるので、パスキー存在理由のフィッシング耐性がなくなります。パスキーを進めるなら複数鍵登録のバックアップ必須、復旧は実店舗KYC必須です。セキュリティにコストかける覚悟決めようね☺️
完ぺきではないけれど脆弱なパスワード管理をするよりよっぽどマシ、という印象。というかまずは対応のパスワードマネージャーでランダムな文字列をパスワードにして自身で入力しないを徹底するところからだと思う
パスキーは、パスワードマネージャの Bitwardenに登録するようにしている。端末にかかわらず使える。パスワードマネージャとしても優秀で、二人までは無料で使えるし、超お勧め。(うちは、家族で有料で買っている)
表示されて読み取ろうとしたら"そのQRコードは対応しておりません"と言われました
パスワードの時代が終わる理由 - パスキーの仕組みを図解でわかりやすく整理する - Qiita
多くの一般人は自分がいるクライアントサイドからの情報漏洩はまだ想像できてもネットワークの向こう側のことはイメージできず「ローカルの端末で意図せずロック解除される」リスクの方を過大に恐れている気がする
標準化しつつある。
“デバイス紛失時のリカバリ「パスキーを2つ以上の端末に登録しておく」のが安全策です。”って端末2つ持ってない人をどう見てるんかな。
認証の民主化というより管理の集約化だよな。スマホ無くした時の絶望感が加速する
公開鍵による認証ってだけなら新しくはないんだよな。そこを意識させないようにした結果逆に問題が出ている気がする。公開鍵認証なら普通に秘密鍵をファイル保存するから。
スマホを2台持っていないと安心できない時代へ。サンフランシスコのエンジニアたちは2台持ち当たり前なので、サンフランシスコのエンジニアたちに倣って2台持とう
パスキーのセキュリティ的メリットとスマホなどのデバイスによる利便性のメリットは分かるのだが、スマホ複数台持ちが普通でない状況でのスマホ損失時のリスクが面倒くさすぎる……のが個人的最大の欠点。
パスキーを理解して、パスキー使えるサービスはどんどん移行している。1Passwordなどと組み合わせると便利。
WebAuthnの際にChromeを推奨するのはいいのだが、推奨に留まらずUA(-CH)で見分けてChromeじゃないですってブロックしてくる奴らが少数いて、こいつらにドス黒い感情が湧く
『紛失時のリカバリ』に語弊がある。(パスキーでもパスワードでも)認証情報を無くしたなら、それ以外の手段(SMS等)で”アカウントをリカバリ”することになる。"パスキーをリカバリ"するわけではない。/コメ書いてきた
パスキー対応しましたって言ってID入力させてパスキー認証させるとこあるけど、IDだけではパスワードマネージャーで自動入力されなくて、パスワードマネージャーの時より不便になるサイトある
パスキー対応を謳いながらパスキー作成がサイトのどこでも出来ないとか(楽天おめーだよ
IT系の試験によく出ます👨️💻️
秘密鍵が端末から出ていかないのにどうやって同期してるの?と思った。多分ちゃんと対策してるのだろう、角度とか。 / あいかわらずユーザーはどうすればいいのか?の観点はないのね。
パスキーは1端末にしか入れられんやつがたまにあるのでまだなくなるのは遠い気がする。そして端末無くした時の恐ろしさよ。この辺がまだこなれてない気がする。
昔は端末ローカルにしか保存できなかったから敬遠してたけどGoogleがアカウント保存になったから積極的に使ってる。PCだとQRコードが出てスマホでパスキー認証するタイプもあって手段としては悪くないね。
パソコン持ってる人が減った今、スマホ2台持ちは富豪、社畜、不倫、パパ活、ガジェット系YouTuberなどの特殊な人だけなので割と少数派だと思うんだがな…
2台あると楽ってだけで、端末1台でそれを紛失しても新端末買ってリカバリはできる ”リカバリ手段の設計はサービスごとに違います。ユーザー目線では「パスキーを2つ以上の端末に登録しておく」のが安全策です。”
この記事に鍵らず技術的な説明は割愛して「利用するときの具体的な操作」に絞った方がいいと思う
PCレス・スマホレスで機能する安価なパスキー認証特化端末のようなものが出てきたら手を出しやすくなるかもしれないなとは思う
iPhone 1台しか持ってない場合、紛失したら次も iPhone を買わないといけない、というところが一番重要なポイントだと思う。アカウントのリカバリ手順がしっかり紙で管理できているなら、なんとかなるかもしれない。
いろんなIDが50個あったとして端末2台に設定するにしても100回の手続きをするの自分の性格だと何年かかるだろう
言うて、今は「端末」だけなら2個以上持ってる人のが多くない?古い端末転がってるでしょ。中高生なら別だけど。
新しいiPhoneが出たから買ったって人は日本には多いと思うけど、そういう人は古い方のIphoneを手元に残しておけば、そのまま2台めのパスキー端末として使える(デバイス限定パスキーは使えないが)。
パスキーとは違うと思うんだけどamazonの二段階認証がQRコード読ませるタイプで、iPadから見た時に私は2台持ちだから行けたけど1台だったら詰んでたのでは?と思ったことがある。
今時、それ以外の本人確認でリカバリできないことないから、頑張ってバックアップとか考えなくていいよ。/ あと心臓部は電子署名認証であって公開鍵が最も適してるだけかな。
パスキーはビッグテックがお前らユーザーを完全に閉じ込める手段。インターネット全体を使うためにApple/Googleのデバイスに認証を委ねるってかなりリスキーだけどみんな疑問に思わないんだな。 Google垢バンされたら?
あとでよむ
同期パスキーは垢BANが怖すぎるんだよなぁ。
鍵の保管場所がリスクに変わるだけで特に安全ではないのと、それを補うために生体認証と組み合わせる事が最大のメリットではあるけど常に生体認証が使えないと肝心のサービスが使えないデメリットが知られていないの
パスキーの仕組みをSIMのハードウェア・セキュリティ・モジュールの中に入れてしまえ。という発想が日本通信のFPOSという仕組みらしい。SIMを止める操作をすると認証もできなくなるが。
パスキーはパスワード管理ソフトに登録しておけばよい。
パスキーってトータルの体験が良くないんだよな。サービス毎に追加認証機だったりパスワードレスだったりバラバラだし、リカバリ手順も標準がない。iPhoneと1passwordで認証手順が違ったりして詳しくない人に勧めにくい
iPadでdiscordにログインしようとしたら登録した覚えのないパスキーを求められて詰みそうになった。Appleなど各社の仕様の混濁が問題
パスキー対応サイトは、アカウント作成時にパスワードマネージャー(PM)かyubikey等の認証機器のどちらを使うかを選択できるはずなので、個人ではPM使って、法人では個人に紐づかないyubikey使えば良いと思ってる
PCに指紋認証パーツを付ければPCとスマホでまぁね。追加ではなかなか買わない。カードリーダーみたいに。
パスキーは端末1台しか許容しなかったり実装側がまずいことが多くて安易に移行できない
"2つ以上の端末に登録しておく" 一応バックアップ用に以前使っていた端末は捨てずに保持しているが、既にセキュリティサポートは終了しており「そんな端末をパスキーにするのセキュリティリスクでは…」と思う
忘れての出先とかで、端末を持ってねえよといった時にネカフェでメールチェックしようにも手も足も出なくなるん?
デバイスありきなのは引っかかるよね。何十年後にはマイナと連携したりするんだろうか
あらゆる部分が微妙な記事。「パスキーよく分からない、おすすめ記事ない?」と聞かれてもおすすめしたくない記事。 / トップコメ、iPhone紛失時にiPhone買えばパスキー復旧できるってホントに?確認した?
使ってるけど、まだ事業者側が「わかってない」状況がありすぎる。docomoはひどかった。
自分の理解もあやふやだし、高齢の両親に説明できない。しかし銀行や証券会社はどんどんパスキーに移行していく。
パスキー最大の問題点が、ちょっとした事故で取り返しがつかなくなること。リカバリーの手段を用意してくれているところなら問題ないが、どこもかそしこもパスキーになると復旧手段が実質ないところだらけになりそう
「パスキーを2つ以上の端末」ねーよ
人間でなく、ツールだけどツールでない奴がアタックしてくるような世の中でネットセキュリティって何やろうな?って感じではあるが・・・
ロマン優光が『フリースタイル』の記事に「江口寿史の名誉回復したいなら批判側にこそ立たないと」と言ってのと同じで、パスキーの記事はどれも、懐疑側・消極側の論点をあっさり簡単に流し過ぎ。
複数端末とかgoogleやappleのアカウントありきとか、前提が多すぎる。ユーザー側に暗記(脳)以外の前提を要求しないパスワードのお手軽さの方が、堅牢さ(詐欺対策)よりもはるかにユーザーに訴求すると思うが。
秘密鍵を他の端末にコピーできたりバックアップできたら引き継ぎできるんだろうけど、ユーザー操作で秘密鍵を外に出せると漏れるリスクがあるからなあ。
平たく言えばスマホがキーということだよね。改造趣味もそろそろ控えねばならん時代か。あるいは認証専用として無改造を1台取っておくか。
“パスキーのポイントは2つあります。ユーザー体験:指紋・顔・端末ロック解除のPINだけでログインできる 裏側の仕組み:パスワードのような「文字列の秘密」をサーバーに送らない”
スマホアプリでパスキーを作った後のPCブラウザでログイン時のやり方とかサイト毎に違って混乱することがある。銀行とか。
ドコモがユーザが2年でちゃんと端末返却するので大赤字って言ってたけどみんな1台運用が普通なんだと思う
ああ、00年代初頭あたりまでの、牧歌的なインターネッツ環境はもうこの世には無いのだなあ・・・。
やると便利なんだろうな〜と思いつつも山になった自動生成パスワード管理シートがあって元気でないんだよな…腰が重い…
わかりやすいパスキーの解説。
パスキーの復旧ってほぼリカバリコード入力で復帰するから全体のセキュリティ強度はパスワード単体と同じ強度になってしまう、それでもUX上フィッシング被害は減る。パスキー最強ってのは勘違いを産みそう。
1passwordに保存してる。重複や分散は民には難しい
パスキー専用のトークン端末を安く作ってくれよ。機種変で死ぬから。
なんかちょっとずつ浅い気がする。こちらの一連の歴史的経緯の方が分かりやすいと思う。 https://blog.jxck.io/entries/2025-07-07/load-to-passkey-0.html パスキーの本質はネットを介した同期であり、そこをどう死守するか。
仕事用のパスキー環境と、個人用のパスキー環境で色々変わるところもある。個人は2台デバイスがほしい🤔
Bitwardenに登録してる。端末依存だと急な故障で困りそうなので
そもそも、まともにログインできないサイトもあるから様子見が無難。MSみたいに平文でローカルに保存している場合もあるし…
複数の端末での利用、がよくわからない…
私は諦めて 1Password。そもそもブラウザや Apple/Google に依存するのは良く無い。テクノロジーは時代と共に変わっていく。
デバイス紛失が心配ならhttps://www.amazon.co.jp/dp/B0BVNRXFHT でも買ってコレに紐付ければ良い
端末の故障・紛失で詰まないかとか、多種多数のアカウントがある場合にスマホの機種変でとんでもない手間がかからないかとか、いろいろ心配がぬぐえず、パスキーという言葉を聞くたびにイライラしている
歴戦のブクマカが端末一個しかないやんつらいやでの話をしてるけど、もうIDとパスワードはだるい、ってこともわかってそうな人たちなので気持ちの落としどころなんじゃろな。おれは賛成、馬鹿みたい。
まだ過渡期だから落ち着くまで混乱続きそう。野村証券はPCでのログイン時にブルートゥース必須とかいうゴミ仕様で苦労した
分かりやすいけど何でこのシーケンス図、認証器をブラウザの右側に書いてるの。どう考えても認証器の方がユーザー&ローカル寄りでしょ。サーバーとの直接通信回数なんてゼロ回だし。
MacとiPhoneでパスキー共有できてるので快適。
パスキーがパスワードを置き換えるものならリカバリ手段も今までと同じようにSMS/メール/自動通話等で用意してくれればいいのになぜか締め付けられて利便性が低いサービスが多いのがネック
パスワードの再設定でメール認証するけど、二段階認証でメール認証もするなら、パスワードは無意味に感じていた
#パスキー #FIDO 「生体情報~誤解されがちですが~秘密鍵は端末の中で厳重に保管~サーバーには公開鍵しか渡らない~課題~機種変更~デバイス紛失」暗号復号お勉強省かれる婉曲表現続く限り機種変時の鍵行方不明で詰む定期。
参考
パスキーの安全確保のために生体認証します。それなら、従来のパスワードを生体認証に置き換えるだけでよくない。
パスワード、もういらないなんて、楽ちんにゃ!
『同期パスキー』 これがちょっとセキュリティ的にすげー良くないんじゃないかと思ってるやつだ
なんで公開鍵と秘密鍵の両方あると安全なのかよくわからなかった そこが書いてなかった残念
何はさておき、私が今できることは https://www.youtube.com/watch?v=Ao2tY0J-xyE のURLを示しておくことくらいだ。
検証結果の取り出し含めての「パスキー」なのか?
今までのパスキーの記事で一番わかりやすかった。ブコメで記事の内容ではなくパスキーの仕様自体のいちゃもんが多いのは、みんな理解できた証。
パスキー対応は機種変更対応必須だよ、勘違いしてる人いない?
FIDE2と物理キー2個以上が安定すると思うけどね。
公開鍵方式がこんな簡単に使えるようになるなんて本当にすばらしい時代だよなあ。あとは秘密鍵の作り直しがもっと簡単になるといいのだが。メールやメッセージに署名や暗号化ができるとかもできるようになるといいな
パスキーの仕組み
パスキーを保存した端末が使えなくなったときのことを考えたら、結局パスキー以外の何かが必要になっちゃうんだよなぁ
開発者としては、お金や秘密情報を扱わない(そしてユーザーからお金取れない)サービスにもパスキー対応を求められるのは重たいので、TOTP(認証アプリ)が普及して欲しいんだけども…。
パスキーの懸念点は堅牢性と表裏一体
復旧経路は攻撃面になるので、パスキー存在理由のフィッシング耐性がなくなります。パスキーを進めるなら複数鍵登録のバックアップ必須、復旧は実店舗KYC必須です。セキュリティにコストかける覚悟決めようね☺️
完ぺきではないけれど脆弱なパスワード管理をするよりよっぽどマシ、という印象。というかまずは対応のパスワードマネージャーでランダムな文字列をパスワードにして自身で入力しないを徹底するところからだと思う
パスキーは、パスワードマネージャの Bitwardenに登録するようにしている。端末にかかわらず使える。パスワードマネージャとしても優秀で、二人までは無料で使えるし、超お勧め。(うちは、家族で有料で買っている)
表示されて読み取ろうとしたら"そのQRコードは対応しておりません"と言われました