いいえ、絶対にそんなことはありません。この記事の内容は、パスキーを使用して Google 認証情報にログインすることです。 「ビッグ 3」および他のいくつかのサイトはキーのエスクローとリカバリを提供していますが、サイトはパスキーを直接使用します。 Best Buy のパスキーを使用すると、たとえば Google でのチェックは行われません (「ソーシャル ログオン」を使用しない限り) コース)。 その文脈で言えば、Google がアカウントをワイプするということは、携帯電話が故障した場合に事態が危険にさらされる可能性があることを意味します。 これらは基本的に回復オプションを備えた yubikey です - 秘密キーが存在するため、安全性は若干低くなります エスクローでは、yubikey に関する問題の 50% が解決されます (残りは値札とアプリのサポートです) 痛み)。パスキーを保存できると思われるすべてのシステムでは、警告なしにアカウントを削除しないという大手 3 社 (Apple、Google、Microsoft) を信頼する必要があるようです。 私の場合、Apple が私の iCloud アカウントとキーチェーンを削除すると、パスキーで保護されているすべてのものにアクセスできなくなります。 これを、メインの Yubikey を破壊した場合に今何が起こるか比較してください。銀行に行って、2 つ見せてください。 ID の形式を確認し、物理キーを使用して安全ボックスからバックアップ Yubikey を取得し、次に進みます。 人生。
一方的に行動するインフラストラクチャサービスを提供する企業に重大かつ永続的な影響が及ぶまでは、私はこれを利用するつもりはありません。 KeyPass/BitWarden は任意の強力なパスワードを生成でき、さまざまなベンダーから必要なだけ Webauthn キーを購入できます。 パスキーを使用すると、あと 1 つ (自動で交渉不可) 削除するだけで、オンライン生活全体から永久にロックアウトされることになります。
その力を企業に与えたいなら、私のゲストになってください。 水道会社や電力会社が明確な理由もなくサービスを停止し、多額の高額な罰金を課されるのと同じ扱いになるまで、私は待ちます。
を必要とするワークフローがどのように行われるのかよく理解できませんパスワードをコピー&ペーストしている場合 (または、メモリからパスワードを入力している場合、大規模な別の問題が発生します)、フィッシングに対して脆弱になります。 したがって、パスキーはセキュリティを大幅に改善することになります。
携帯電話をつかんで、
アプリをタップすると、
画面の写真を撮り、
その情報をどうするかをタップすると......メモリからパスワードを入力したり、パスワード マネージャーを使用して自動入力したり、パスワード マネージャーを使用してコピーして貼り付けたりするよりも「簡単な」操作です。
他にも利点があるかもしれませんが、決して簡単ではありません。
Google アカウントについては、2FA として使用していた YubiKey をパスキーとして再登録しました。 2FA では、認証は Google パスワード + FIDO U2F ハードウェア キーでした。 パスキーの場合、FIDO2 ハードウェア キー + キーの FIDO2 PIN になります。
「ビッグ 3」テクノロジー企業のいずれも、パスキーの管理者ではありません。 パスキーはデバイス上に保持されます。 何らかのサービスを介してパスキーを同期したくない場合は、同じパスキーを複数のデバイスに配置します。 デバイスは 1 つしかありませんが、もうなくなってしまったのですか? これは、同期のないパスワード マネージャーと同じ問題です。 最終的には、同様のロックアウトされた場合と同様に、別のサービスで再認証する必要があります。 ほとんどの人は、パスワードと同じようにパスキーを同期します。 いいえ、Google がアカウントを閉鎖しても、デバイスにすでにあるパスキーを無効にすることはできません。 同期サービスは失われますが、代わりに別のサービスを使用し始めることができます。
パスキーはフィッシングできず、忘れることも、データ漏洩によって入手することもできず、本質的に一意で安全です。 これらは本当に大きな改善です。 また、デバイス上に配置すると認証が簡単になるため、使いやすくなります。
これには Android や iOS ではなく Yubikey を使用しています。 これは、Google や Apple にキーを管理してもらう必要がなく、アカウントが侵害されてパスキーが漏洩することを心配する必要もないことを意味します。
Google アカウントのログインとの比較として、私はしばらくの間、この Yubikey を使用して Microsoft アカウントにアクセスしています。
Microsoft は、デスクトップ上のすべての主要なブラウザで動作します (前回確認したときは MacOS の Safari を除く)。 GoogleにはChromeが必要なようです。
Microsoft には、ユーザー名フィールドの下に別の方法で署名するためのオプションがあり、Windows Hello またはセキュリティ キーを選択し、キーを USB ポートに挿入し、PIN を入力して、上部のボタンを押します。 次に、どのアカウントを保存するかを尋ねられます (複数のアカウントを保存している場合)。すぐにログインできます。 ユーザー名やメールアドレスを覚えておく必要さえありません。
Google はユーザー名/メールアドレスの入力を要求し、その後キーの挿入を求めます。 次に PIN を入力する必要があり、ログインします。
ユーザビリティの観点から見ると、電子メールを覚えておく必要がないという点で Microsoft の方が優れています。 アルスの観客にとって、これはおそらくマイナスだろう。 しかし、70 歳の祖父母をサポートしている場合、彼らが覚えておくべきことは少ないほど良いのです。 私は確認していませんが、MS システムの欠点は、Yubikey が特定の数の保存された資格情報しかサポートしないことです。 私の調査でわかったことによると、Google の方法では基本的に Yubikey がそのサイトに特化した秘密鍵を生成します。 を実行する必要があるたびに、内部秘密キー、PIN、およびサイトとブラウザによって提供される一部の情報に基づいて、 認証。 どちらも、Yubikey に固有の内部秘密キー、PIN、ブラウザーによって提供されるドメインに関する情報、および特定の ハンドシェイクを実行するためにアクセスしているサイトから提供される情報。すべてを偽装することはできないため、MITM 攻撃の成功を防ぎます。 データ。
Google の実装と Microsoft の実装の Firefox に何が欠けているのか、なぜ新しいパスキー システムをサポートしていないのか、私にはわかりません。 それとも、Firefox が Bluetooth 部分を実装していないため、Google がパスキーを要求していないだけでしょうか。 Firefox が Google ログインで Yubikeys/ハードウェア トークンを要求されないため、Yubikeys/ハードウェア トークンがサポートされないことによる副作用 サイト。
--
パスキーを紛失し、バックアップ パスキーがない場合、セキュリティ フォールバックとして、パスキーを取得する前にログインしていた方法でログインします。 したがって、通常はパスワード + OTP です。 これは、サイトが安全性の低い認証システムをサポートしていることを意味しますが、利点の 1 つは、サポートされていないことです。 パスワードを定期的に使用するため、フィッシング/MITM によって漏洩または傍受される可能性が低くなります。 攻撃。
--
セキュリティの観点から、パスキーはサイトのサポートが限定されたパスワード ウォレットとして見ることができます。 Yubikey を使用する場合、ウォレットはポケット内のハードウェア デバイスとなり、PIN で保護されます。 Android/iOS パスキーを使用する場合、ウォレットはクラウド システムで同期され、アカウントのパスワードと生体認証によって保護されます。 デバイスを紛失した場合は、パスワード ファイルを紛失した場合と同様です。
すべてのねじれを解明できれば、セキュリティをあまり意識していない人にとっては、セキュリティ環境の多くのことが変わる可能性があります。 安全なパスワード要件に抵抗したり、パスワード ウォレットを適切に使用する方法や、複数のパスワード ウォレットにアクセス/同期する方法を理解する必要がなくなりました。 デバイス。 基本的にパスワードウォレットになることで、パスキーは使用されるすべてのサイトに対して非常に安全でランダムなパスワードを生成し、フィッシング耐性を念頭に置いて構築されています。
どうしてこれが反対票を投じられるのでしょうか? それは100%真実です。
その 誰が、 ない 何 フロントページにあります。 Google への愛が第一面に掲載されていないため、Google への支持が群衆を敵に回している 業界標準.
それはばかげています。
繰り返しますが、読者の皆さんは、これらのコメント投稿者に注意を払わないでください。
パスワードの使用は、パスワードに代わるものに対する答えであってはなりません。
これはちょっとばかげています。 既存のサービスに対して他の方法で認証するにはどうすればよいでしょうか 認証メカニズムを更新するには? すでに議論されている QR と Bluetooth の方法とは別に。 また、パスキー ログインを要求するのではなく有効にすることで、サーバー側の攻撃対象領域が必ずしも削減されるわけではありませんが、 大幅 OS レベルの認証によってキー交換が厳密に行われるため、クライアント側の攻撃対象領域が減少します。 そしてそれは全員にとっての勝利です。
OS のセキュリティ機能がどれも信頼できないという状況に陥っている場合は、コンピューティング デバイスを捨てて、南の島か何かで生活するのもいいかもしれません。 で いくつかのポイント 一部のソフトウェアには、ある程度の信頼を与える必要があります。
ここで多くの混乱が生じているのは、技術スタック全体が私たちに押し付けられ、既成事実として提示されたためだと思います。 無知な私が理解していること、つまり SSH キー ペアから類推して、これを分解してみます。 私は他の人に、私の間違いの穴を突いてもらいます。1. 公開/秘密認証キー。 これは SSH とほぼ同じように機能します。 Web サイトはあなたの公開鍵のみを知っており、あなたは秘密鍵を持っていることを証明するためにメッセージに署名します。
2. フィッシング対策保護。 キーはサイトに固有であるため、フィッシング サイトは別のキーを取得します。 SSH にはこのためのホスト キーがありますが、keypass が TLS ホスト キーと関係するものを使用していると思いますか? ブラウザはそれを使用して、使用するキーを選択しますか? それともDNS名だけでしょうか?
3. 正しいユーザーがキーを使用していることを証明するためにキーのロックを解除する手段。 SSH にはパスフレーズがありますが、ここで生体認証や Bluetooth が登場するのではないでしょうか? SSH はスマートカードを使用してキーのロックを解除することもできるので、生体認証は別のロック解除モードに似ていると思いますか?
4. デバイス間でキーを同期します。 おそらくここで、iCloud や Chrome のパスワード同期などのクラウド「エコシステム」が登場するのではないでしょうか? SSH についてはサポートがありませんが、rsync などを使用して独自に作成することはできますか?
何を間違えたのでしょうか?
上記がおおむね正しい場合、~/.ssh 内のファイルの山と rsync を使用してデバイス間を移動する SSH と基本的に同じことを行うオープン スタックを構築することが想像できます。 それは、すべての可動部品が露出され、何が起こっているかを理解しやすい「自転車」アプローチです。
これは人々にただ投げつけられるだけではありません。これは FIDO2 のアップデートであり、それ自体が標準の 2 番目のバージョンです。 U2F は FIDO1 でした。 これは、FIDO2/WebAuthn の一部である CTAP 2.2 ([編集: 間違っていた 2.4 の WAG から修正されました、ありがとう!]) です。 これは実際には何も複雑なことではありません... 彼らは、秘密鍵を安全にコピーできるように (そうする必要があります...) Authenticator の要件を緩和し、作業を容易にするためにいくつかの Javascript 機能を追加しました。 パスワードなしのログイン? FIDO2 では常に可能でした。 そこが重要な部分です。FIDO1 は MFA のみである可能性があります。 TPM またはセキュア エレメントに保存されている秘密キーをブラウザに追加しますか? いつでも可能でしたし、 以前は Chrome、Firefox、Safari に実装されていました. 新しいのは、BT/QR リグマロール経由で同期およびアクセスできることです。 以前は、ハードウェア デバイスであるポータブル キーとは対照的に、これは「プラットフォーム固有キー」と呼ばれていました (そして Web サイトにフラグが立てられていました)。 次はパスキーです。
パスキー システムの目的はパスワードを取り除くことにあると思われるので、パスワードの利点をいくつか挙げてみましょう。
- 電子機器を操作できる知的能力のある人なら誰でも理解できるほど簡単です
- 少しでも努力して定期的に使用すれば、簡単に覚えられます。
- すぐにすべてのオペレーティング システムで動作します
- インターネット アクセスは必要ありません (一部のシステムは正当な理由でオフラインになっています)
- 第三者の協力を必要としません
- スマートフォンやその他のガジェットの存在を必要としません
- Bluetooth、WiFi、カメラ、バッテリーは必要ありません。
- 緊急時には電気を使わずに保管できる
- デバイスを使用せずに他の人に簡単に送信できます
- 障害がなく、スマートフォンを使用していない場合、パスワードによる認証には数秒しかかかりません
あなたのポイント #1、#2、および #10 はまったく間違っています。技術サポートで働いている人に、誰かがパスワードをリセットする必要がある頻度を尋ねてください。 パスワードを忘れた、Caps Lock キーをオンにしたままにした(またはキーボード上の手の位置を間違えた)、または何度もいじってロックされた 外。 ええ、ええ、あなたが個人的にいつも完璧に答えているのは知っていますが、信じてください、ヘルプデスクに電話を受ける人は誰でも、人間性について…あまり楽観的ではありません。 また、多くの視覚障害のあるユーザーとパスワード入力をサポートしていることも付け加えておきます。 大量に 多くのサイトにはスクリーン リーダー ユーザーにとって難しい複雑さの要件があり、タッチ タイピストに熟練していない場合、それを大声で言うのは良くありません。 これはニッチな分野ですが、認証システムを構築する多くの人々が法的に適切にサポートする必要がある分野でもあり、それが私が興味を持っている理由の 1 つです。 「パスキーでログインしますか?」以来のテクノロジーです。 多くの人にとって、「はい」は、どの形式のパスワード + MFA よりも少なくとも 1 桁速くて簡単です。 ユーザー。
ポイント 3 は、WebAuthn MFA に当てはまりますが、常にパスキーです。Yubikey のようなものは、USB/NFC があればどこでも機能しますが、 PIN を設定するか、Google.com などのパスキー実装者向けの生体認証シリーズ キーを使用する必要があり、単純な認証以上のものを必要とします。 タップします。
ポイント #5、#6、#7、および #8 は、MFA とパスキーの両方のすべての形式の WebAuthn にも当てはまります。 ポイント #4 は、既存のキーを同期するときに初めてデバイスを登録する場合を除いて当てはまります。 初めてキーを同期した後は、ネットワーク接続は必要ありません。 同期したくない場合は、USB または NFC があればどこでも完全にオフラインで動作する Yubikey 生体認証キーをいくつか購入することもできます。
残るは #9 ですが、これは悪い習慣であり、できれば避けるべきです。 最新のシステムには、ロールベースの認証のような機能があり、パスワードを共有することはありませんが、複数のユーザーが特定のロールを引き受けることが許可されたり、レガシーまたは委任されたものなどがあります。 アカウントでは、再びパスワードを共有することはありませんが、パスワードをリセットしたり、パスワードを制御したりするための権限を 1 人、または組み合わせて必要な複数のユーザーに付与する必要があります。 あなたのファイル。
何かが新しくて、その仕組みをまだ学んでいないからといって、それが悪いとか避けるべきだというわけではありません。 パスキーは私たちのほとんどにとって大きな変化です – .gov は例外です。PIV/CAC は前世紀に遡るため、他の場所はほとんどありませんが、.gov は例外です。 それを採用しました – しかし、セキュリティ上の利点に加えて、多くの使いやすさの改善があり、構築するための明確な道筋があります 欠けている部分のいくつか (例: Apple / Google パスキーを Yubikey に同期する機能が本当に欲しいので、すぐに金庫に入れることができます) 場合)。
これは同期中だけでなく、認証中にも使用されるため、明らかに利用可能である必要があります。 また、初期登録時にも利用できる必要があります。それが私が皆さんに説明したいことです。既存のデバイスで認証し、それを使用するのは簡単です。 他の公開キーをデバイスに追加します。この公開キーは、別の新しいデバイスで生成され、何らかの方法で古いデバイスに送信されます。 手段。 たとえば、デスクトップ マシンで新しい秘密キーと公開キーのキーのペアを作成し、その公開キーをラップトップに送信し、ラップトップでログインして、デスクトップの公開キーを追加できます。 私はいつも SSH を使用して同様のことを行っています。
ここには技術的なハードルはありません。 パスキーでそれが不可能な場合は、それは選択によるものです。
秘密キーにアクセスできません。 何度も嘘を繰り返すより、調べてみてはいかがでしょうか。
そして今、私は始める前よりも混乱しています。状況を説明するために記事をCS専攻/上半分に転送しましたが、それだけでは十分ではないかもしれません。
パスワードは簡単に理解できます。 2FA は簡単に説明できます。 パスキーはなんとなく意味はありますが、理解できるかもしれないと思ったときに、次の段落を読んでさらに迷ってしまいます。
天国が私の兄弟と両親を助けてくださいますように。
そう言っていただきありがとうございます。 ダンや他の人からの応答 (たとえば、 @wbdの宣伝コメントは私のコメントを引用しています)は、コメントの根本的な誤読に基づいています。1Password と Bitwarden の両方がパスキーのサポートに取り組んでいることはご存知ですよね?パスキーを使用する OS プロバイダー (私の場合は、モバイル デバイスとデスクトップ デバイスの両方について Apple) を信頼したくないのですが、「But yOu」という応答が繰り返し返されます。 すでに、自分のパスワードを Google を信頼してください。」はい、わかりました。BitWarden/KeePass から長いランダムなパスワードを入力し、Yubikey を接続して、 ボタン。 いかなる時点でも、OS プロバイダーに依存することはありません。
そして確かに、現在はパスキーを使用せず、以前と同様にパスワードを使用するというオプションがありますが、テクノロジー誇大広告全体が「もうパスワードは必要ありません」に向かって進んでいます。 「みんな」ステーションで、「でもちょっと待って、OS プロバイダーが私を気に入らないと判断して他のすべてのアカウントからロックアウトされたらどうなるの?」と言ったら、荒らしと呼ばれるでしょう。 誤った情報を与えられた。 また、これが機能せず、「ああ、それらは 私たちが望んでいるパスキーのみの未来においては、それは当然の懸念です」と、あらゆるものに対する継続的な批判があります。 質問すること。
1Password は、パスキーが「認証の未来」であるとまで述べています。 https://www.future.1password.com/passkeys/
