ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
コメント
注目のコメント
IDとパスワードを入力したあとに、携帯に表示されるコードを入れるなどのMFA(多要素認証)ですら、簡単にバイパスして、認証情報を窃取できてきまうサービスが、アンダーグラウンドで展開されています。その結果。現在クラウドアカウントが乗っ取られてしまう被害のうち35%は
多様認証を設定していても、乗っ取りに成功されています。
このような中で、FIDO2はフィッシング対策のファイナルアンサーとなりそうな技術。日本は中国からのフィッシング攻撃が特に多く、パスキーを使うには最新のOSやデバイスが必要ですが、いち早く普及が進むことがのぞまれます。パスワードについては、情報漏洩などによりアカウントと共に漏れてしまうこともあり、被害にあう方々も毎年多くいます。
一方、パスワードなどを使わないパスキーについては、サービス側と端末側との鍵交換を行うことで承認、生体認証などと紐づけることで確実の本人であることを証明することができ、また詐欺サイトなどはこの動きをまねられないため、被害を抑えることができます。
パスワード証明はリスクが高いため、今後は更に生体認証への移行が進むでしょう。個人的にもGoogleやGitHubなど普段使うサービスのパスキー対応から感じるのは、一つの技術がこれほど急速にUXを改善する事例はそうそう見ないということです。本当にエポックメイキングな技術だと思います。
雑感として感じるのは、パスキーの普及によって1Password等のパスワードマネージャー会社の今後はどうなるのだろうという点。
この記事にもあるようにパスキーの要点は端末間での秘密鍵の同期にあります。1Password自身もこの機能を提供していますが、Google等のアカウントと紐づけた同期機能をデバイスやブラウザに組み込めるプラットフォーマーと比べると不利は否めません。
シングルサインオン(SSO)の普及とのダブルパンチで特にコンシューマー用途の先行きは先細りになりそう。企業向けの統合アイデンティティ管理などが生きる道でしょうか。
また関連したパスキーの技術仕様の概要を眺めているとCBORやCOSEといった規格名が散見されること。これらの名前に苦い思いのある日本人エンジニアも多いかもしれません。
元々日本の技術者が開発したMessagePackというデータフォーマットの仕様があったのですが、よく似た仕様が欧州の別の人によってIETFに持ち込まれ、MessagePackの開発者の反対にもかかわらずCBORとしてRFC化された経緯があります。
インターネット標準を巡る衝突の一事例として知られていますが、近年導入されたウェブ標準の中でも大きなものの一つであるパスキーにCBORが採用されている点にやや複雑な思いがあるのも事実です。
