パスキーの本質

security

パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。

サービス側

企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザーの責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない

ユーザー側

パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける機会が減ることだけでありパスキーはセキュリティの最小強度の底上げにはならない。ユーザーが本当に求めていることはパスワード入力の手間とリスクを減らすこととこれを端末非依存にすることだけである。これを実現すると次のようになる。

あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる。復旧コードがあってもこの問題を複製しているに過ぎずそもそも一般的なユーザーが多数のサービスの多数の復旧コードを適切に管理できるわけがない復旧コードは到底一般化不可能な復旧手段なのであり我々ユーザーはそういうものを管理するコストとリスクと責任を企業から押し付けられているのである。復旧コードを盗まれアカウントをハイジャックされて詰むリスクも押し付けられていることは言うまでもない。極めつけにユーザーが多数の復旧コードをいかに管理すべきかはユーザーに丸投げである。そこを掘り下げるとパスキーの欠陥があらわになるから言及できないのだろう。すなわち企業が安全になった代わりにユーザーは非常に危険になったのでありユーザーは企業に企業の安全の代償を押し付けられユーザーがそれまで所有していた安全を搾取されたのである。復旧コードを押し付けてパスワードリセットを取り上げる実装はクソだと断言できる。そして一般化可能な唯一の現実的復旧手段であるメール経由のパスワードリセットで認証を復旧するならば結局セキュリティの最小強度はパスワードから上がっていない(原理を示すためマジックリンクなどパスワードと同等のセキュリティ強度の互換的な認証方式を代表してパスワードと表記している)。端末Bを追加し冗長化および認証情報の共有をしようとすると盗まれた端末から共有先を追加削除できないようにするなど認証情報を管理するためにさらに別の認証が必要になりパスワード認証に戻る。結局喪失に対してパスワード認証と同じ堅牢性を保とうとするとパスワードに回帰することになりパスワードから離れられないのである。従ってパスキーはパスワード入力機会を減らすに過ぎずユーザーが真に求めるのはこのメリットにデメリットが一切ないようこれをパスワード同様端末非依存かつ端末と復旧コードを喪失しても復旧可能にすることだけなのである。近年お題目に上がり鼻につくようになったパスワードの廃止や根絶は非現実的なイデオロギーと幻想でありIT業界のいつもの見慣れた誇大広告に過ぎない。パスキーの危険性の最大の原因はパスキーそのものよりも仕様策定メンバーであるGoogleなどが旗振り役となりユーザーが侵害に対する安全性と喪失に対する安全性のトレードオフを選択する自由を奪ってパスワードの廃止と復旧コードという危険な実装方法を事実上の標準として強力に推進していることである。このためパスキーの危険性が実装依存であろうとパスキーはその危険性の責任を免れない

なお認証情報の共有には仲介するクラウドベンダーなどに認証情報を開示しなければならない問題があるため共有する認証情報をE2E暗号化すべきであるがこのE2E暗号化および復号もパスワードに頼ることになる。結局不特定多数の個人が対象となる限りどれほどセキュリティを強化してもパスワードを完全になくすことを一般化することはできないのである。

この記事は今1時間で書き殴ったものなので雑書きなのはご了承。

パスキーのエバンジェリスト兼アドカレ主催者の抜粋コメントがあったのでいかほどのものか見てみよう。

> ユーザーが本当に求めていることはパスワード入力の手間とリスクを減らすこととこれを端末非依存にすることだけである。

そもそもユーザーが何かを求めているとでも?

こうやってセキュリティ関係者がユーザーのニーズを考えずユーザーを唯々諾々と従うべき無知蒙昧の徒であるかのように見下して独りよがりな開発と導入を強引に推し進めているからユーザーに不便を強いて反発されているのである。

その後こいつは「パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る」という記事を投稿し「パスワード認証はもっとも詰みやすい方式と言えるでしょう」「全ての認証方式が詰む。パスキーも詰むし、ID連携でさえも詰む。パスワードはもっと詰む」(パスワードリセットできることがわかってるのにパスワードを忘れて"詰んだ"などとユーザーが思うはずもなくこいつの認識と信念は完全に現実から乖離している。なんならリセットありきでランダムなパスワードを設定して忘れる使い方も珍しくないのが現実である)というユーザーの認識と不満と実情とは真逆の信念を主張しブックマークに「少しずつ共通認識にしていきましょう」とセルフコメントを付けてあくまで自身の信念にユーザーを従わせようとしておりまったく反省していない

> あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる。

パスキーでも詰むって話。勘違いする人が多いが、詰まない認証方式など存在しない。

ログインできなくならない認証方式など存在しないという極論に走っているに過ぎない。ユーザーが求めているのはパスワードと同じくらい詰みにくい認証方式である。補足するとここでパスワード認証はメールでのパスワードリセットが当然可能であることを含意しておりパスキーで復旧コードを要求されパスワードリセットを利用できなくなる場合の問題と対比したものである。

> 近年お題目に上がり鼻につくようになったパスワードの廃止や根絶は非現実的なイデオロギーと幻想でありIT業界のいつもの見慣れた誇大広告に過ぎない。

聞いてますか!FIDOアライアンスの皆様!

聞いたらどうだというのかね。

> 結局不特定多数の個人が対象となる限りどれほどセキュリティを強化してもパスワードを完全になくすことを一般化することはできないのである。

「パスワードをなくす」ことよりも「世の中を安全にする」ことを目指していきたいですね。

誇大広告を指摘した直後の段落に書かれた文にもかかわらず文脈を考慮せずこのように切り出した解釈しかできないのでは読解力がないと言わねばならない。なぜ「完全になくすこと」が対象にされているのか考えようと思えば明らかであることを読み取れていない。

ところで太字でない部分もコメントしてるのに太字で書いてるそもそも一般的なユーザーが多数のサービスの多数の復旧コードを適切に管理できるわけがないという部分にコメントがないのは非常に残念である。