Scribble at 2025-01-01 09:38:24 Last modified: 2025-01-02 00:01:28

添付画像

SMS-based MFA is among the weakest form of this protection. Not only can the texts be phished, but they're also notoriously vulnerable to SIM swaps, in which an adversary gains control of a target's phone number. As long as these less-secure fallbacks exist, passkeys aren't much more than security theater.

Passkey technology is elegant, but it’s most definitely not usable security

passkey は最近の認証技術としてはトレンドになっているけれど、「パスワードレス」という宣伝文句ばかりが大合唱されている傾向があるし、実は passkey を有効に設定するためにはパスワードが必要という本末転倒な原理があるため、はっきり言えば「パスワードレス」は嘘なのだが、宣伝屋というのは古来と言っても良いくらいの昔からミスリードや「ご飯論法」が十八番であるため、後からであればいくらでも言い訳できる。やれ「passkey を設定した後なら『パスワードレス』だ」とかなんとか。

また、この記事が指摘するようにサービスごとの実装に統一性がないため、エンド・ユーザを混乱させているのが実態だ。顔認証もあれば指紋認証もあるし、Windows では PIN も設定できるようになった。でも、実装ごとに passkey の強さをどう担保してるか分からないので、せっかくパスワードに10桁の文字列を設定しているのに PIN が4桁の数字では、パスワードを4桁の数字で設定しているのと何が違うのかという印象を受ける。実際、これは銀行のキャッシュ・カードみたいに数回の間違いでロックするような仕組みがなければ、ただの確率の問題だけで言えば明白に弱い。同じく、Windows のアカウントでも第2パスワードと称して「子供の頃のあだ名は?」などと設定するしくみがあるけれど、実際にはあちらの設定内容はまさしく個人情報に当たるので、Windows にわざわざプライバシー情報を登録するというのも変な話だし、あだ名なんて文字数として少ないわけだから、認証情報としてパスワードよりも弱いに決まってるんだよね。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る