パスキー(FIDO)の安全性と脆弱性と破滅的欠陥

security

これはパスキー(FIDO/FIDO2)の安全性と脆弱性と破滅的欠陥そして正しい認証設計の最も包括的かつ総合的な解説である。パスキーの破滅的欠陥の公開はこれが世界初である。次に列挙する事項を読めば欠陥の原理を掴める。全体の文量が多ければ最初はハイライト部分だけ流し読んで要点を掴むのもいいだろう。証拠となる公式文書は後半に記載している。パスキーは公式の案内に従って導入すると強制リセット不可能に陥り攻撃発生後の対応が不可能となり被害の拡大阻止も回復も不可能となる破滅的欠陥により大規模攻撃発生時点で事業破綻が確定する。個々のユーザーが詰むことは数あれどパスキーはサービス側が詰んで事業破綻する史上初にして唯一の破滅的欠陥認証方式である。さらにパスキーは不要なパスキーオンリーにより不要にユーザーと収益を失わせサービスに日々多大な損害を与え続けている。パスキーはマジックリンクを始めとする他の認証方式と併用される数ある認証方式の一つに降格させることでしか存続不可能である。ユーザー側としては認証の有料化デジタルクレデンシャルによるネット実名制と中国化の危険性パスキー公式団体とメルカリとドコモがパスキーの強制による被害を意図的かつ戦略的に拡大させユーザーに故意に被害を与えている事実が公式文書での自供により証明されたことも極めて重要である。パスキーは過剰に複雑化させることでユーザーがパスキーの安全性に疑問を感じても自信を持てないように仕組んで反論を封じてきたのであり本稿を読めばパスキーの膨大な数の不正と欠陥と脆弱性を明確に指摘して断罪できるようになるだろう

ほな遠慮なく

注意:箇条書きすら自力で読めずAIもどきを信じるほど知能が劣化してるなら黙って帰れ。最も重要で新規な破滅的欠陥の原理を理解せず自分がすでに知ってる部分だけ読んで理解したつもりになる馬鹿はAIもどきにも劣る。

多数のエンジニアが揃って論点から外れた的外れなコメントをする中で現在破滅的欠陥の原理をわずかでも理解できたのは最後にコメントした次の一人だけである。

lainof ↓パスキーオンリーのサービスでパスキーをサーバ側で無効化したらユーザはログインする手段を失うので、ユーザを失うのと等しいって主張では?マジックリンクを認めていれば他より安全な復旧手段になる

このサーバー側でパスキーを無効化してユーザーを喪失するか無効化せずユーザーのアカウントを侵害されるかというジレンマをサイバー攻撃により強制しいずれを選ぼうと事業破綻させることができるのがパスキーの破滅的欠陥の原理であり認証に対するサイバー攻撃が即事業破綻に直結するのはパスキーが史上初めてである。複数デバイス所持で解決というコメントがあるが秘密鍵を複数デバイスに共有しても対応する唯一の公開鍵をサーバーが無効化するので全デバイス秘密鍵が同時に無効化される。パスキーを複数登録したユーザーも無効化せずに済む登録が各ユーザーごとに都合よく残る理由は何もなく通常は全滅する。そしてリカバリーコードも同時に侵害され流出する可能性が高くリカバリーコードを含めすべての認証情報をサーバー側が無効化して新しい認証情報をユーザーに渡す必要に対応することは事前にリカバリーが可能なだけでは不可能であり強制リセットによってのみ可能なのであるリカバリーコードは事前にリカバリー可能な状態を作れるに過ぎずリカバリー可能状態は侵害と同時に失われる。実際にはそもそもリカバリーコードを所持していないユーザーがほとんどであるが。まあ理論的説明をとばして技術的に具体的に何をする必要があるかだけ書けば要するにパスキーとマジックリンクのどちらでも認証可能にすれば破滅的欠陥が解消されリカバリーコードは百害あって一利もないから即廃止が必要ということである。そしてこの真逆をやらせているのがパスキー公式団体FIDOアライアンスの公式戦略だから問題なのである。そして本文にも書いているようにこれほど破滅的なシナリオに対して即座に準備済みの回答により反証されないことが本件が想定外で未対策の問題であることを示している。本件への対処方法が予め準備されていないこと自体許されないのである。本稿を疑う者は次の箇条書きにある破滅的欠陥の項のシナリオに対してそれまでの項も踏まえてどのような対処方法が準備されているか信頼と責任ある専門家に聞けば済むことである。まあどの専門家も論点をずらした歯切れの悪い回答か疑問に答えない全否定しかしないだろう。それが答えである。

  • パスキー公式団体のパスキーオンリー戦略によるマジックリンク排除
    • パスキーオンリーの認証へ現在移行中
    • パスキーを紛失しただけでログイン不能になったユーザーが大量発生中
    • 公式文書で推奨されているのもGoogleGitHubなどの大手サービスが導入しているのもパスキーとリカバリーコードによる認証構成でありマジックリンクは非推奨ないしリカバリーコードより推奨されずメルカリなどのように縮退ないし廃止中であるためユーザーがマジックリンクで認証を回復できずアカウントを喪失している
  • リカバリーコードのフィッシング脆弱性とパスキーの致命的自己矛盾
    • リカバリーコードはフィッシング耐性が一切ない最弱認証方式なのに推奨されている
    • 代わりに安全なマジックリンクを推奨するとパスキーオンリーに矛盾するのでやらない
      • パスキーはマジックリンクにフィッシング耐性があるという不都合な通例の評価を覆すために根拠のない将来的フィッシング可能性を理由に強引にフィッシング耐性があるともないともしない荒唐無稽な恣意的独自評価をすることでマジックリンクを排除している
      • マジックリンクを通常の認証方式としてパスキーとの併用を認めるとパスキーオンリーではなくなるという有害無益な幼稚なわがまま
      • 他に使用を許されている認証方式はすべて使用場面が限定的だから許されている
    • マジックリンクは通常の認証方法として実装し他の認証方式のリカバリー方式としても兼用するのが最も安全かつ合理的
      • 攻撃者はリカバリーを通して自分のパスキーを登録して認証できるためマジックリンクの用途をリカバリーに限定して認証方法をパスキーのみに制限する意味はなく逆にサービスがサポートする少数の主要OSの少数の準最新バージョン以降以外でのパスキー使用拒否と合わさりユーザーを認証不可能にさせ失うことが多いため有害無益
      • Googleなどの大手サービスがLinuxでのパスキー使用を拒否しておりWindows10でも使用できなくなってきていることからパスキーオンリーの世界では現状すでにビッグテックのOSやデバイスを数年ごとに買い替えなければサービスにログインできず利用できないディストピア的状況になっている
    • そもそもリカバリーコードは流出の危険性の高さがパスワードと共通であるため同じく強制リセットの必要性も共通であり結局強制リセットのためにマジックリンクが必要
    • リカバリーコードを本来使用されていたフィッシング困難な業務用非公開サービスからフィッシング容易な一般用公開サービスに持ち出せば当然単なる劣化版パスワードにしかならない
  • パスキーのゼロリスク信仰による時限爆弾性と破滅的欠陥
    • 共有した秘密鍵が流出したらパスワードと同じくパスキーも強制リセットが必要
      • 秘密鍵は実際にはパスワードと同じく流出、漏洩、解読、脆弱性、不具合、事故、内部犯行など多くの侵害リスクがあり侵害時に認証情報の強制リセットが必要
      • パスキーは流出のときを待つ時限爆弾でありパスキーの秘密鍵は永遠に有効であるため流出等すれば暗号化状態でさえ将来的解読可能性により時限爆弾化する
    • パスキーはサービス側から強制リセット不可能
    • 強制リセット可能ならパスキーを紛失してログイン不能になるユーザーなど存在しない
    • パスキーはマジックリンクを排除したことで強制リセット不可能となった
    • リカバリーコードは普及するほど増加し管理不能となり紛失され機能せず実効性がない
      • 加えてそもそもリカバリーコードに移行するなら全ユーザーにリカバリーコードを強制的にダウンロードさせる必要があるがほぼ全サービスがそれすらできておらず公式文書にリカバリーコードの強制ダウンロードの必要性の記述がないためパスキーを過信して強制ダウンロードを怠った結果ほとんどのユーザーがそもそもリカバリーコードを取得せずリカバリ不能になる危険性も高い
      • かといってリカバリーコードを強制ダウンロードさせユーザーのリカバリーコード所持率が上がるとリカバリーコードに対するフィッシング攻撃が開始される
      • リカバリーコードは完全に詰んでる
    • パスキーは強制リセット不可能なので流出したら鍵削除等により無効化するしかない
    • パスキーの認証情報を無効化するとほとんどのユーザーが永久にログイン不能になる
      • パスキーを紛失しアカウントを喪失するのと同じこと
    • 流出したパスキーを無効化せず侵害されるか無効化してユーザーを永久に失うかの二択
      • パスキーは絶対に秘密鍵を侵害されないというゼロリスク信仰にすべての安全性を依存しているため秘密鍵を侵害されても強制リセットできず対処不能となる
      • パスキー公式が侵害後の対策と対処について明言を避けているのはリカバリーコードに実効性がなくパスキーに重大な欠陥があることを漠然と自覚しており公式の責任で明言せず支持者や導入者の自己責任でリカバリーコードで対処できると誤認させたいからであり明言して痛い腹を深堀りされたくないからである
    • これによりサービスの大半のユーザーが失われれば基本的に事業破綻すると見なせる
      • 無論独占的サービスや収益依存度の低いサービスなどは除く
      • サービスを収益基盤とするほとんどの事業は大半のユーザーの喪失によるキャッシュフローの急激かつ大幅な赤字に耐えられないだろう
      • パスキーは流出を待つばかりという意味でも解読を待つばかりという意味でも時限爆弾的でありパスキーが安全なのはパスキーという時限爆弾が爆発するまでの間だけであり爆発の威力と被害規模は史上最強最悪である
      • これほど危険なパスキーという史上最強最悪の時限爆弾が強制自動登録され大量散布されている事実は極めて危機的かつ破滅的である
      • パスキー公式団体のFIDOアライアンスはもはやテロ組織と言って何ら差し支えないことはパスキーが引き起こす全世界的被害の深刻性と甚大性から明らかである
      • 国家レベルの攻撃者がパスキーを起爆させる危険性を鑑みればパスキーは西側全体の安全保障上の巨大な時限爆弾でありこれが爆発する危機である
    • すべてはマジックリンクを推奨し導入させるだけで解決すること
      • パスキー公式推奨の認証構成ではそもそもリカバリーコード自体が強制リセット不可能であることからパスキーとリカバリーコードが両方流出すると漏れなく完全に強制リセット不可能な破滅的状況に陥ることで破滅的欠陥の存在が形式的証明により数学的に証明されすなわちパスキーの破滅的欠陥は形式手法により設計段階で事前に検出可能な厳密かつ明白な欠陥でありリカバリーコードより圧倒的に安全かつ強制リセット可能なマジックリンクを組み込んで破滅的欠陥を解消しない一般的理由が存在しない
      • マジックリンクのメールアドレスは識別情報であり認証情報でないため流出しても当然リセットも無効化も必要ない
    • リカバリーの概念しかなく強制リセットの概念がないことがパスキーの根源的欠陥
      • 認証情報型認証方式と識別情報型認証方式の区別がついてないことも同様
      • 認証情報型認証方式だけで認証を構成すること自体が根本的欠陥
      • 認証情報型認証方式だけで構成された認証は著しく複雑で密結合で権限過剰で脆弱なものにすることで識別情報型認証方式に漸近するに過ぎない
    • 平時の通常使用においても不要かつ破綻したパスキーオンリーへの過渡により多くのユーザーがパスキーを紛失しただけでログイン不能になり失われている
    • 不要なパスキーオンリーで失ったユーザーと収益はすべてパスキーに騙された不要な損害
      • メルカリがパスキー必須化した24年9月とユーザー数減少が完全一致している疑い
    • パスキーは原理的に実現不可能で実体のないパスキーオンリーによる投資詐欺
      • パスキーは欠陥が自然解決するという犯罪的希望的観測に依存する詐欺ベンチャーのように欠陥を抱えたままユーザーを騙して開発と普及を続けているに過ぎない
    • パスキーは過渡期を越えることがそもそも不可能
    • パスキーにできるのは過渡を中止し引き返すことだけ
    • リカバリーコードは危険なだけで有害無益なので即時廃止
  • 強制リセット能力を固有するマジックリンクの絶対的優位性と不可欠性
  • リカバリーコードのスケーラビリティ欠如による一般化不可能性
  • デジタルクレデンシャルによるネット実名制と中国化の危険性
    • パスキーはリカバリー方式にリカバリーコードの代わりに実名登録が基本となるデジタルクレデンシャルを強制し中国同然のネット実名制を実現する危険性が高い
    • デジタルクレデンシャルが必須化されれば証明書発行機関の承認なしに認証できずユーザーとサービスが直接認証不可能になる
    • 始めはリカバリー方式としての間接的導入でもすぐにパスキーを通して個人情報を渡せるよう改悪されることは目に見えている
  • 共有パスキーの著しい脆弱性増大と規制リスク
  • パスキーの認証方式としての前時代性と短命性
    • パスキーは所詮旧来のドングルの変種の域を出ず根本的に設計が古く発展性がない
    • パスキーはパスキーだけでは原理的に強制リセットも有効期限も追加不可能
    • パスキーは有効期限を設定できなければ今後セキュリティ要件を満たさず短期間で危険化し負債化する
    • パスキーの暗号方式が経年や脆弱性発覚により脆弱化した場合も秘密鍵流出時に強制リセットできないのと同じ原理的欠陥から暗号方式を強制アップデート不可能
    • ユーザーが管理する認証情報をパスキーとリカバリーコードの2つに増やしたこと自体が脆弱性と攻撃ベクトルを倍増させており欠陥
  • マジックリンクは将来的にも最も安全な最強認証方式
    • 共有パスキーの安全性はマジックリンクより著しく劣り廃止しなければならない
    • 非共有生体認証パスキーでようやく短期的にマジックリンクより安全になる程度
    • マジックリンクは有効期限がある唯一の主認証方式であるため将来的にも最も安全
  • 二重の生存バイアスによるパスキーの認証成功率とサービス利用率向上の詐術
    • パスキーにより認証成功率や認証所要時間などが向上したという謳い文句はパスキーへの移行に成功したユーザーだけを計測しその後のトラブルによりパスキーまたはアカウントを利用不能になったユーザーを除外することで二重に生存バイアスをかけたもの
    • 全ユーザーにパスキーを強制しても残りのユーザーの多くが即時または漸進的に認証不能になりパスキーを強制しなかった場合より利用率と収益が低下する可能性が高い
  • パスキーの強制自動登録による認証無効化と法的リスク
  • 認証の有料化のための仕様策定を進める有料パスキーマネージャ業者
    • すべての労働者は資本家が労働者の所有を奪い資本家の所有と置き換えることで労働者を小作人化し課税し搾取する略奪経済を開始していることを理解しなければならない
  • パスキーによる被害の戦略的悪質性と故意性と加害責任
    • ユーザーはパスキーのせいで痛い目にあってもまた痛い目にあいたくなければ自分で学習して俺達パスキーに適応しろというのが公式戦略であることが公式文書に明記されている
    • そもそも公式戦略が利用する要因たるユーザーの苦境を日本で最も生み出している悪質企業と要因を利用するこの公式文書を書いている悪質企業が同じメルカリとドコモなのであるから自作自演のマッチポンプ以外の何物でもない
    • 一方的にパスキーを強制し多くの被害者を生み出す問題が多発しているのもそれがパスキーの公式戦略なのだから当然である

パスキーの安全性はパスキーの種類により劇的に低下する。パスキーは非共有パスキーに問題が多く普及が困難と判断し普及の主体を共有パスキーに切り替えているが共有パスキーの安全性は既存のマジックリンクより著しく低い水準にまで低下するためマジックリンクからパスキーに強制的に移行させる根拠がなくなった(正式名は同期パスキーだがAppleが他のアカウントと共有させ始めたので実態として共有で正しくAppleに限らず盗まれれば攻撃者とも共有され不正使用される)。以下要管理リスト増加数はユーザーがセッションリスト同様にサービス上または共有サービス上で管理する必要がある認証情報リストを認証方式が新たに増加させる数(全体の数はマジックリンクなら1+0=1、パスキー+リカバリーコードなら1+1+1=3。詳細は後述)、解読は暗号の将来的解読、規制は他国または自国による規制、フィッシングは認証情報の詐取、流出はサービスからの流出(共有サービスでは秘密鍵)、漏洩はユーザーからの漏洩(盗難や紛失によるものを含む)、盗難は物理的盗難、違法捜査は違法捜査または人権侵害による強制的認証解除(デバイスレベルでのみ評価)、権威主義は調査報道や内部告発等に対する妨害(デバイスレベルでのみ評価)、スケーラビリティは多数のサービスに導入し一般化できる能力、強制リセットはサービス側からの認証情報の強制リセットを表している。他の種類のフィッシングはメールを使用すること自体の問題であり認証方式に関係なく攻撃が成立するため認証情報のフィッシングに含まれない(リンクを極力開きたくない場合もパスキーを常用、マジックリンクを非常用の認証方式として使用すればリンクを開く必要がある回数は極めて少なくなりパスキーを喪失しない限り10年でも20年でもサービスの全利用期間通して各デバイスごとにパスキーを設定するまでの0回ないしたかだか最初の1回しかない)。物理的盗難は基本的にデバイスレベルで対策すべきものであるためサービスやアプリの認証で考慮する必要性は低い。このため一般的に最も安全と思われている生体認証パスキーでさえ盗難耐性を除外できるサービスやアプリにおいてはマジックリンクと同水準の安全性しかない。PINはパスキーでなくマネージャの機能であることが多いうえすべてのマネージャが毎回PINを要求するか保証されず、数字配置がランダム化されずパターン認証同様画面の指紋や汚れから解読される危険性も高いことから現実には実装の脆弱性により安全性が低いことが多い。使用する数字の特定がデバイスの1割でも成功すれば十分危険だと言える。クリックファームの物理操作機械を転用すればPINは機械的に高速解読可能である。使用する数字が特定されPINが4桁なら試行1回あたりの成功確率は1/4!=1/24、6桁なら1/6!=1/720となりAndroidは一般的に5回失敗ごとに30秒間再試行不可(https://internet.watch.impress.co.jp/docs/column/tengoku/1563043.html)になるようであるから毎分5回の試行としてもたった2.4時間で6桁の総当りが完了し100%解読されるためPINは少なくとも少数の試行失敗で無期限ないし本人でも解読困難なほど非実用的に長時間試行不可能になる非常に厳格な設定にしなければ安全ではない。また桁数の偽装および組み合わせ数の増加のためいずれか一つの数字を2回使用すべきである。4桁以上ならいずれか一つの数字を2回使用するほうが元の桁と比較しても組み合わせが増え桁数が特定されている場合も安全のはずである。共有(同期)以外のパスキーはすべて非共有(デバイス固定)を想定しているため共有パスキーでも生体認証を加えれば脆弱性が補われ安全になるなどと誤解しないよう注意すること。共有パスキーの漏洩脆弱性や規制脆弱性は生体認証などのローカル認証を加えても一切解消も軽減もされない。また非共有パスキーでもマネージャの設定により容易に共有パスキーに変更できる場合この操作により非共有パスキーのすべての安全性が無効化されそもそも非共有で使用できない可能性もある。このため同じ生体認証パスキーでも共有か非共有かや共有設定を変更可能なマネージャを介するかにより安全性が大きく異なりパスキーの実際の安全性は表より大きく低下することが多い

認証方式 要素 要管理リスト増加数 解読耐性(有効期限) 規制耐性 フィッシング耐性 流出耐性 漏洩耐性 盗難耐性 違法捜査耐性 権威主義耐性
パスワード 記憶 0
マジックリンク (外部) 0 - -
パスキー(共有) (外部) 1+ - -
パスキー(非共有) 所持 1 - -
パスキー(セキュリティキー) 所持 1
パスキー(PIN) 所持+知識 1
パスキー(生体認証) 所持+生体 1

このようにパスキーは日々脆弱になるように開発されており最新かつ普及の主体である共有パスキーに至っては逆にマジックリンクより著しく危険になっているため今やマジックリンクを廃してパスキーを強制する合理性も正当性もまったくなくなった長年最も安全に普遍的に利用されてきた最高の安全性と実績を誇るマジックリンクでも不十分なユーザーもいるとしてもGmailなどの安全なメールサービスを利用している大多数のユーザーには関係のないことであり一部の脆弱なユーザーのために全ユーザーに脆弱で高コストなパスキーや有害無益なリカバリーコードを強制する合理性も正当性も一切ない(後述のようにリカバリーコードは無差別に使わせるには危険すぎるため誤って不必要に使わないよう十分な説明と警告を行い使用を制限しなければならないがそのように正しくリカバリーコードを提供しているサービスはどこにもない)。メールサービスが脆弱な場合にすべきことはHTTPをHTTPSに移行させたようにメールサービスを安全化することであり攻撃者のために認証方式を脆弱なパスキーやリカバリーコードにデグレード攻撃して差し上げることではない(後述するようにマジックリンクを使用しないことはそもそも不可能であるためそもそもマジックリンクの安全性を強化する以外の選択肢は存在しない)。今後ユーザーが使用するパスキーがマジックリンクより危険な共有パスキーに変わったのにマジックリンクからパスキーに強制的に移行させてももはや逆に安全性が下がりかえって危険になるだけである。認証要素の観点から見ても共有パスキーも非共有パスキーも単要素であり単要素パスキー同士と多要素パスキー同士を比較しても耐性は大きく異なる(なおユーザー検証によりサービス側からパスキーに多要素認証を強制しても容易に虚偽申告や改竄ができそもそもユーザー検証はユーザーが誰かはデバイス別にしか問われずパスキーを共有された他人も当人のデバイスでユーザー検証を通せば別人としてユーザー検証を通過しながら元のユーザーのパスキーで元のユーザーとして多要素認証できるためパスキーに多要素認証を強制しても攻撃者のなりすましを防ぐ効果も機能もない。パスキーがサービスとの認証手続きに使用しサービスがユーザーの識別に使用可能な認証情報はユーザーの秘密鍵しかなく生体情報やPINなどその他の認証情報はユーザーのデバイス内でのみ使用されデバイスから外に出ないのだから当然である。そうでなければ生体認証対応のスマホから生体認証非対応のスマホやPCへパスキーを共有して使用することなどできないのだから運用上不可避の必然的制約である。パスキーを多要素認証足らしめているユーザー検証は実際にはデバイス内の独立したローカル認証を通過したユーザーに秘密鍵の使用権限を与える認可に過ぎず異なるデバイスのローカル認証ひいてはパスキーが同一ユーザーを認証しているかは検証されない。パスキーのユーザー検証の認証性はユーザーの使用するデバイスに依存しているため非共有パスキーではデバイスが固定されることでユーザー検証に認証性を持たせることが可能で多要素認証にすることもできたが共有パスキーでは攻撃者が攻撃者のデバイスから攻撃者としてローカル認証を通過し被害者としてサービスに認証できることから攻撃者ひいては非物理的なサイバーセキュリティの観点からはユーザー検証の認証性が失われ多要素認証ではなくなり単要素認証となる。パスキーは自分のデバイスで認証する正規ユーザーの主観視点からは多要素認証だとしても別のデバイス秘密鍵を移してユーザー検証を無力化できる攻撃者の客観視点からは単要素認証なのである。従ってパスキーの多要素認証は実際には単要素認証単要素認可であり認可はユーザーが誰かを問わずパスキーでは容易に省略も偽装もできるため単なる単要素認証と何ら変わらず多要素認証を保証することも不可能であるパスキーが秘密鍵さえ盗めばローカル認証を無視して不正認証できる事実はパスキーが単要素認証である何よりの証明である。セキュリティキーは触るだけで誰でも認証できるという問題が共有パスキーでは生体認証などすべての認証方法に共通する問題に間接的に普遍化されていると理解してよい。違うのは同じデバイスに制限されずどのデバイスでも誰でも認証できるよう悪化した点でありパスキーは全世界の攻撃者がパスキーを遠隔攻撃できるように仕様変更されたことで致命的に安全性が悪化した。パスキーの多要素認証が機能するのはパスキーでなくデバイスまたはマネージャの不正使用を試みられており秘密鍵を不正取得されていないときだけである秘密鍵という一つの認証要素を不正取得されただけで残りの認証要素を省略または偽装して認証を突破されるという事実だけ見てもパスキーの自称多要素認証は明らかに多要素認証ではない。パスキーは常に多要素認証ではないがユーザー検証により多要素認証化されたときでさえ実際には多要素認証ではないのである。ニュースや注意喚起や教科書に登場しパスキーなどの多要素認証による対策が推奨される大規模侵害事例はすべて攻撃者のデバイスからの攻撃であるためパスキーの多要素認証は攻撃者に一切適用されず機能せずサービスとユーザーに自分が多要素認証で守られていると誤解させ騙す以外に完全に何の意味も効果もない。多要素認証が強制されていなければ単にマネージャに秘密鍵を入れるだけで自動またはワンクリックで認証でき強制されてもユーザー検証フラグを偽装するだけで無効化できる。マネージャや攻撃ツールがユーザー検証偽装機能を実装することなど極めて容易である)。多要素認証のような認証要素に基づく原始的で粗粒度のセキュリティ評価は各種耐性と能力の有無と整合せず安全性の低い認証方式を安全性が高いおよびその逆と誤って評価する可能性が高い不正確で危険な評価法でありセキュリティ評価は耐性と能力に基づく細粒度の評価により正確に行わなければならない(電子的侵害耐性、物理的喪失耐性等、およびその内訳となるフィッシング耐性等)。またパスキーのようにリセット方式を含めた実際の使用方法では著しく安全性が低下するにもかかわらず実現不可能な空想的使用方法での最も高い安全性のみを宣伝して安全であると騙す詐欺を働くことは許されない。この種の詐欺はパスキー(X)は安全でないのではないかという問いに対してパスキー(Y)は安全であると質問者の専門知識の不足につけこんで論点をすり替え詭弁を弄しているだけである。加えてユーザーがパスキーを嫌うのはパスキーを強制されたせいで現にアカウントにログインできなくなるなどの被害にあっているからでありパスキーに期待しすぎのごとき妄言はパスキーを強制され被害者となったユーザーへの侮辱以外の何物でもない。そして最もパスキーに期待しすぎているのはパスキーオンリーの認証を実現可能と妄想して多大な被害を撒き散らしながらな強引に推進している他ならないパスキー開発者と推進者である。後述するようにこれは不可能なことを行おうとしているせいで生じている完全に無駄な被害である。

パスキーはパスキーを喪失した場合にリカバリーコードを使用させようとしているが次のようにリカバリーコードは極めて危険な避けるべき認証方式である(逆に一般消費者個人のリセット方式としてマジックリンクよりリカバリーコードのほうが一般的に安全であると主張するセキュリティ有識者がいたらモグリかヤブである)。

リセット方式 要素 要管理リスト増加数 スケーラビリティ 強制リセット能力 解読耐性(有効期限) 規制耐性 フィッシング耐性 流出耐性 漏洩耐性 盗難耐性 違法捜査耐性 権威主義耐性
マジックリンク (外部) 0 - -
リカバリーコード なし 1

パスキーによる認証設計の最も直接的な致命的欠陥はパスキーとセットで推進されており事実上パスキーと不可分であるリカバリーコードにフィッシング耐性が皆無なことである(パスキーがフィッシング対策をお題目に掲げフィッシング耐性を最大の恩恵として売り込まれているにもかかわらずである。リカバリーコードは本来金庫にしまうなどの厳格な管理が想定されるものであり一般ユーザーがそのような厳格な管理をしてくれると期待することは不可能である。そしてリカバリーコードが安全なのはこのような厳格で高コストな管理を行う場合に限られた話でありそのような管理をする余裕のない一般ユーザーには危険でしかない。すなわちリカバリーコードの安全性が確保されるのは業務上の運用手順が守られる場合に限られており一般ユーザー用としては想定できず適用も再現もできない。当然一般ユーザーが低リスクのサービスでまで負担の大きい業務用運用手順を守る必要などなく高リスクのサービスであっても個人で業務レベルの管理コストの負担を負うべきサービスなど個人事業主用以外ほとんどない。またパスキーの前身であるドングルと併用されていた頃にリカバリーコードのフィッシング耐性の欠如が問題とならなかったのはこれらが主に社内ネットワークで使われていたためそもそもフィッシングサイトを作ってアクセスさせることが極めて困難でありフィッシングの対象となる状況になかったからである。よって昔ドングルとリカバリーコードが使われていたからパスキーでも使えるという論理は成立しない。フィッシングの容易な公開サービスに使用する場合は当然フィッシング耐性が要求されリカバリーコードは要件を満たさない。リカバリーコードが従来使用されていたのは組織内という使用環境の特殊性ゆえであり組織外に持ち出し一般化すれば当然単なる劣化版パスワードにしかならないリカバリーコードが使用されていたのは特殊な使用環境への適合性という環境要因ゆえであるにもかかわらずパスキー公式団体が組織外へ一般化させ認証方式としての安全性そのものが高いかのように偽り欺いて推奨していることは悪質極まりない組織内でリカバリーコードの危険性を補っていた攻撃困難な業務用非公開サービスやリテラシーのあるユーザーなどの使用条件は組織外では消滅し存在しないためリカバリーコードは組織外では直ちに単にパスワードより危険で何の利点もない有害無益な最弱認証方式となる)。正しい認証手順に従ってフィッシングサイトに入力して詐取される可能性のあるリカバリーコードより正しい認証手順を逸脱し異常な手順を踏まなければ詐取されずカプセル化され有効期限までついてるマジックリンクのほうが遥かに安全であることは自明である(このようにユーザーが鍵を触るフローが存在している時点でパスキーの安全性が設計段階から破綻していることが理論的に証明されるパスキーは容易に安全化可能な部分を独占し危険な部分をリカバリーコードなど他の認証方式に押し付けてパスキーの部分だけは安全だとのたまっているに過ぎない)。そしてリカバリーコードはパスワードと同じ共通鍵でありパスキーはパスワードを廃止すると言いながらリカバリーコードという名前のパスワードを物理的または電子的に平文で保存させるという従来のパスワードより遥かに危険な運用をユーザーにさせることでユーザーを以前より遥かに危険にしているのである(表口は最新式電子錠に改良したが裏口は旧式シリンダー錠に改悪した。これはバックドアを設置したも同然であり犯行グループが侵入の下準備を整え仲間を手引きするためにすることである。リカバリーコードを設定しパスキーの導入が最後まで完了すると安全性が当初のパスワードより脆弱な状態に悪化することを認識している経営者など皆無に近いだろう。マネージャによりパスワードとパスキーを透過的に使っていたユーザーにとっても1サービスに1つで済んでいたパスワードをマネージャを使えるパスキーとマネージャを使えないリカバリーコードの2つに増やされ無駄に危険になっただけである。さらにリカバリーコードはパスワードより厳格な管理責任をユーザーに要求しこれによる免責を付して運用されているためパスワードと同じようにリカバリーコードを盗まれ不正使用されてもサービス側がパスワードより危険なリカバリーコードをユーザーに強制したにもかかわらずパスワードと違いユーザーの自己責任として一蹴される危険性が高いリカバリーコードが普及するなら増加したリカバリーコードの不正使用への対応拒否が問題化しパスワードと同じ柔軟な対応をせざるを得なくなったときようやくリカバリーコードがパスワードの別名に過ぎずパスワードを平文で保存したものに過ぎないことに多くの人が気づくことになるだろう)。フィッシングが容易なリカバリーコードの上でパスキーを強制しても攻撃者が容易にリカバリーコードに迂回してフィッシング攻撃を継続できることは自明である(「このアカウントは停止されました。アカウントの回復にはリカバリーコードの入力が必要です」。さらに高度なものとしてはリカバリーコードはどれがどのサービスのどのアカウントのものかわからなくなるユーザーが多発する可能性が高いため中途半端な本物のサービスでリカバリーコードを要求して手当たりしだい入力されたリカバリーコードを保存し悪用するフィッシングが予想される)。リカバリーコードのフィッシングが顕在化していないのはほとんどのサービスでリカバリーコードのダウンロードを強制するに至っていないため標的がリカバリーコードを所持している可能性が低いからに過ぎず強制が開始されればフィッシング攻撃も開始される。このため実際にはリカバリーコードは形式的には推奨されながら一般向けには導入を積極的に推進せず事実上撤回されるだろう(パスキーは名目的にはリカバリーコードと共に普及しながら実際にはマジックリンクに支えられる偽装状態によりパスキーの普及と成功が宣伝されてきており今後もそう宣伝され続けるだろうリカバリーコードは業務用としても特権の取得が容易すぎ管理機能も足りていない。そしてほとんどのサービスではパスキーとリカバリーコードに必要な複雑で煩雑な管理機能など不要である。使いにくいセキュリティはセキュリティではないという格言の通り不便さと管理コストが必要上の許容範囲に収まらない過剰なセキュリティはセキュリティではないマジックリンクに残る脆弱性も長年最も安全に普遍的に利用されてきたという実績を鑑みれば何ら問題ではなくむしろマジックリンクならば認証セキュリティにおけるユーザーへの教育事項と防御箇所をメールを開いてマジックリンクをクリックする以外の操作をするなという一点に集約し局限できるということはマジックリンクの極めて優れた優位性である。対してパスキーもリカバリーコードも侵害にも喪失にも安全に運用するために覚えなければならないことがあまりに多すぎ遂行しなければならないこともあまりに難易度もコストも高すぎるのである)。パスキー自身が公式文書でリカバリーコードをフィッシング可能に分類しているにもかかわらずフィッシング耐性のあるマジックリンクでなくフィッシング耐性のないリカバリーコードを使わせていることはセキュリティと安全性に完全に逆行しておりフィッシング耐性を標榜するパスキーの公式方針にも自己矛盾した背信的で極めて危険な犯罪的行為であるパスキーは一般的にリカバリーコードを使わないべきであり公式にそのように宣言および警告すべきであるが代わりにマジックリンクを公式に最適なリカバリー方式として推奨すると認証方式を安全性のためにパスキーのみに統一および制限するという公式戦略に致命的に自己矛盾することが素人目にもあまりに明白すぎて現実には認証方式がパスキーである必要などないという真実を自ら公式に暴露することになるため危険なリカバリーコードの使用をやめられないというジレンマに陥っている(パスキーの現状はリカバリー方式で自己矛盾するか認証方式で致命的に自己矛盾するかの二者択一でリカバリー方式での自己矛盾を選択している状態であるが無駄な時間稼ぎでありパスキーのお望み通りフィッシング耐性の必要性が認められ要件となればリカバリーコードは禁止されマジックリンクに戻りパスキーの致命的自己矛盾が自動的に白日の下に晒される。パスキーのこの喜劇的宿命もパスキーの自己矛盾がいかに根深いかをよく表している。リカバリーコードは極めて脆弱で危険であるにもかかわらずパスキーの致命的自己矛盾を隠蔽するために安全なマジックリンクから危険なリカバリーコードに置き換えられているに過ぎずリカバリーコードはサービスとユーザーの安全性を著しく低下させ危険な状態に曝しているためマジックリンクを使えない特別な理由がない限りすべてのサービスは直ちにリカバリーコードを廃止して安全なマジックリンクに戻さなければならない。そしてリカバリー方式をマジックリンクにするならば認証方式をパスキーのみに制限してマジックリンクのような他の認証方式を排除する必要などなくそもそもマジックリンクは認証方式として実装したものを他の認証方式のリカバリー方式としても兼用するのが最も安全かつ合理的であるリカバリー専用フォームなど無駄に脆弱性と攻撃サーフェスを増やすだけである。パスキーは本来マジックリンクと組み合わせれば済んだものをそれでは認証方式をパスキーのみに制限し統一する戦略が破綻するから危険なリカバリーコードを無理やり使わせているだけなのである攻撃者はリカバリーを通して自分のパスキーを登録して認証できるためマジックリンクの用途をリカバリーに限定して認証方法をパスキーのみに制限する意味はなく逆にサービスがサポートする少数の主要OSの少数の準最新バージョン以降以外でのパスキー使用拒否と合わさりユーザーを認証不可能にさせ失うことが多いため有害無益である(Googleなどの大手サービスがLinuxでのパスキー使用を拒否しておりWindows10でも使用できなくなってきていることからパスキーオンリーの世界では現状すでにビッグテックのOSやデバイスを数年ごとに買い替えなければサービスにログインできず利用できないディストピア的状況になっているGoogleでさえLinuxを拒否しているのは技術的理由とは考えられない(https://support.google.com/accounts/answer/13548313)。筆者も実際にLinuxChromeで他のサービスでパスキーを作成し使用できているにもかかわらずGoogleではパスキーを作成できず環境がパスキーに対応してもサービスが拒否すればパスキーを使用できず逆にパスワードを強制することになり無意味どころか逆効果である。メルカリのユーザー数が減少に転じた時期はパスキーを必須化した時期と一致しておりパスキーを強制したせいで多くのユーザーが認証困難になった悪影響が大きい当然の疑いがある(https://about.mercari.com/press/news/articles/20250508_fido/ https://www.nikkei.com/article/DGXZQOUC318PM0R30C25A1000000/ )。直近の最新データから数えるとメルカリがパスキーを必須化した24年9月とユーザー数が減少に転じた24年9月が完全一致している。常識的に考えて認証方法をパスキーのみに制限してユーザーが減らないはずがなくネット上で確認できる苦情の多さから見ても至って順当でありこれを裏付けている。いずれ回復するとしてもそれまでの期間事業の拡大と成長が遅れたということである)。そもそも環境でパスキーの使用を制限しても安全になるのはパスキーのブランドだけでユーザーはサービスがサポートしていない環境でもパスキーのほうがパスワードより安全でありパスキーの有人対応コストの問題で環境を制限しているならそれがパスキーの実用性の低さと突然認証不能になる危険性とハードウェアとOSの購入の強制というだけのことである。パスキーとマジックリンクのどちらでも認証できるのならば脆弱な方が攻撃を受けるため安全性は向上せずこの場合脆弱なのは共有パスキーの低い安全性を想定しなければならないパスキーのほうである。さらに認証の脆弱性は認証方式の数に比例して増加し安全性が認証方式の数に比例して低下するためパスキーの導入により追加された攻撃ベクトルに対するケアが必要となる。パスキーはパスワードにおいて現在攻撃されているフィッシング部分を防御する予定だったがマジックリンクではフィッシングはすでに防御されているためパスキーから得られる安全上の利益はほとんどなく全体的および将来的にはむしろパスキーの追加および共有パスキーにより増加した攻撃ベクトルにより安全性が低下する可能性が高い。よってパスキーの排他的使用方針を撤回したところでパスキーを導入しても安全性はマジックリンクから向上せずパスキーを導入する利益が実質的に利便性のみであることを公式に認めることになるだけである(なおパスキーの強制や排他的使用などの文言や戦略は公式文書に明記されており、フィッシング耐性のある認証方式のみで認証を構成することが目標とされているがマジックリンクは公式文書内でフィッシング耐性ありと分類されていないこと、公式文書中の認証構成例にリカバリーコードはあるがマジックリンクがないなど総じてマジックリンクよりリカバリーコードが安全で優先的なリカバリー方式として推奨されていること、パスキーオンリーの認証が公式の最終目標(最終目標は最終段階の最小要件でなく通常要件ないし目標。曖昧な部分は執筆者たるパスキー公式の責任に帰せられ実際にサービスやユーザーが曖昧性により損害を受けた場合そのようにしか責任を帰属し得ない)となっており状況によっては現に必要であることが明記されていることなどがマジックリンクおよびその他一切の認証方式を排除する根拠となっているが実情を鑑みず認証を俺達の作ったパスキーだけにしたいという願望を目標にしているだけの結論ありきの意味も根拠もない私的願望に過ぎない。だからパスキーは既存のユースケースをフォローできないという欠陥が多発しリカバリーコードやQRコードなどの補完認証方式で場当たり的に取り繕って継ぎ接ぎになりそれでも他の認証方式を排除し最終的にパスキーを唯一の認証方式にするために共有パスキーが開発され非共有パスキーと置き換えて主力にされているのであるが共有パスキーは共有可能化により余計なリスクを爆上げしたくせに欠陥は全体のほんの一部しか解消できておらず肝心の安全性が原型を留めないほど下がって完全に迷走の末の失敗作と化している。パスキーが他の認証方式を排除したいのに端々で他の認証方式を必要としている矛盾はもはや掘り下げるまでもないが要するにこの程度のことすら考えずに他の認証方式を排除してユーザーに多大な被害を生んでいる浅はかで迷惑な認証方式がパスキーであるということである。なおパスキーはリカバリーにネットワーク認証を使わせたいようだがパスキーの想定するネットワーク認証は物理デバイスとSIMへの紐づけと依存が必要であるためデバイス固定による不便さと喪失リスクにより普及を断念された非共有パスキーと同じ理由で却下されSIMスワップのリスクの高さからも却下されるGoogleなどのパスキー公式団体企業でさえパスキーのリカバリー方式にネットワーク認証を使用せずリカバリーコードを使用しているのが何よりの答えである。そのほかID認証もあるがサービスとメールアドレスの間に割り込んだ無駄な集約的中間者に過ぎず安全性は向上せず利便性が向上する場合があるのみであるためマジックリンクが不便な状況で追加的な選択肢になるだけである。そもそもメールアドレスが生きているのにID認証サービスの都合で全アカウントがリカバリ不能になる危険性を負うわけがなくリカバリーにメールアドレス以上の紐づけ先は存在しない。同様にサービスとメールアドレスの間に割り込むすべての認証方式は事実上必須化されればゲートキーパーとなる危険で無用な集約的中間者であり特にデジタル認証やデジタルクレデンシャルは実名登録が基本であり発行者の制限も容易であるため中国同然の極めて危険なネット実名制の導入そのものであるにもかかわらず結局これら中間者型認証サービスへの認証のリカバリーにマジックリンクが必要となり電話認証や郵送など他のリカバリー方法は安全性または可用性が著しく低く比較するのもおこがましいバイスに保存された証明書を中間者と感じなくとも発行機関の承認なしに証明書を再発行してもらえないことに気づいたとき証明書が中間者であり発行機関が支配者であることを思い知らされることになる実名などの個人情報を識別情報とするあらゆる認証方式は実際には個人情報の真正性を保証する証明書発行機関の署名などによる認証を必要としているためすべての実在識別情報型認証方式は純粋な識別情報型認証方式ではなく識別情報と認証情報の複合情報型認証方式であり純粋な識別情報型認証方式は仮想識別情報型認証方式だけである実際には証明書発行機関のような認証機関が真正性を保証する必要のあるユーザー情報は個人の識別情報を始めとする個人情報だけであるためアカウントを実在の人物と紐づけ特定可能にしてネット実名制を実現したいのでない限りユーザーに対する証明書のような第三者による証明も保証も認証も一切不要であるこれまでユーザーとサービスの間にメールサービスしかない1ホップだったものを不要な中間者を割り込ませて2ホップに増やしても無駄に危険性が上がるだけであることは自明である証明書発行機関も侵害や欠陥などがあれば証明書の強制リセットが必要であることは通常のサービスと変わらないのであるから存在そのものが排除すべき無駄な危険性であるいかなる中間サービスもそのリカバリーの安全性と可用性を犠牲にしないならマジックリンクに帰結するほかないのであるから構造上安全性を低下させないことが不可能な中間者など挟まず最初からメールアドレスに直結してマジックリンクを使用すればいいだけのことであるデジタル認証やデジタルクレデンシャルなどの中間者型認証サービスの必須化は中国同然のネット実名制を実現するためにユーザーがサービスと直接認証する権利と自由を剥奪し全世界を中国化する極めて邪悪で危険な改悪以外の何物でもなく始めはリカバリー方式としての間接的導入でもすぐにパスキーを通して個人情報を渡せるよう改悪されることは目に見えている我々は常にこのような危険に曝され危機に瀕しているところをフリーソフトウェア財団などによる権利保護活動によりかろうじて救われ続けているのであり我々の自由と安全は何もせず享受できる自然状態ではない。なおマジックリンクは厳密にはメールサービスを経由して受け取るものであるがインターネットプロバイダがメールプロバイダを兼ねているのが一般的であるようにいずれもネット上の電話と郵便のごとき配送サービスに過ぎず認証情報と認証はサービスとの直接的なものであり元来不可欠なメールサービスと完全に一体化しているためいまさら使用可能なメールサービスをサービスが制限することは非現実的だがデジタルクレデンシャルは記載される個人情報の信頼性を理由に証明書発行者を容易に正当に制限できる。端的に言ってメールサービスはセルフホストでも拒否する理由がないが証明書は自己署名証明書を許可する理由がない。独自規格のデジタル認証はまだしも標準規格であるデジタルクレデンシャルはパスキーのリカバリーコードに代わるリカバリー方式として強制される危険性が高くパスキーオンリー詐欺を続けるために中国同然の極めて危険なネット実名制の導入するデジタルクレデンシャルの危険性はどれほど言っても足りないが無論マジックリンクがあれば不要である)。すなわちパスキーが安全性を向上させるという嘘は使用方法が排他的かと無関係に破綻しているのである。パスキーが安全性を向上させるのはマジックリンクと組み合わせてパスワードから移行する場合に限られる。リセット方式や管理上のリスクなどを含めた総合的観点から実際にパスキーが安全性を向上させることができるのはせいぜいパスワードという最も脆弱な認証方式と比較した場合に限ったことでありパスキー最大の拠り所であるフィッシング耐性などマジックリンクによりとっくの昔に実現済みである)。このためパスキーの危険性は修正不能となっている(すなわち認証方式の安全性は認証方式のみで成立せずリセット方式に制約される)。パスキー以外の認証方式の排除を公式戦略とする現在のパスキーは排他的パスキーと呼ぶべきものであり排他的パスキーは脱出不可能なジレンマの中で理論的にも実践的にも完全に破綻している(なお排他的な現状とそれをやめる選択肢のどちらを選んでも破綻するから破綻しているということであるため排他的でないことを選んでも破綻することに変わりないことは前述の通りであり排他的なら安全性がパスワード未満に低下し非排他的ならパスワード以上マジックリンク未満になる違いがあるだけである)。破綻しているパスキーを導入したサービスが破綻せずにいられているのは他の認証方式の排除が完了しておらず他の認証方式に救われているからに過ぎない(パスワードとマジックリンクが自身の認証方式のみですべての認証を完結させられる完全な認証方式であるのに対してパスキーはパスキーのみで初回認証からリセットまですべての認証を完結させられない不完全な認証方式である。そしてパスキーはパスキーを補完する十分に安全な認証方式を用意できないためパスキーの安全性は少なくともリカバリーコードのような補完認証方式の安全性まで低下する。本人確認などパスキーのために特別な代替認証方法を用意している場合もレスポンスタイムが許容範囲を超えれば破綻する。パスキーが喧伝する安全性とは現実にはパスキーに必要不可欠な補完認証方式の安全性評価を恣意的に除外した実在せず実現も不可能な虚偽の安全性に過ぎない。パスキーがついている嘘はあまりに多すぎるためどれほどパスキーの安全性を粉飾しているか挙げきれない)。隠された欠陥が露呈し破綻するまでの過程においてしか利益を得られないというパスキーの特徴は詐欺そのものであるパスキーは奇跡が起きて欠陥が消え去るという犯罪的希望的観測に依存する詐欺ベンチャーのように欠陥を抱えたままユーザーを騙して開発と普及を続けているに過ぎない。破綻した排他的パスキーを他の認証方式を排除して強引に普及させたところで破綻した内情から目を逸らすために侵略と民族浄化により延命を図る独裁国家と同じ末路を辿るのが関の山である(パスキーは普及させるパスキーを共有パスキーに切り替えて延命を図っているが米国企業に認証情報を預けあらゆるサービスへの認証を米国企業の制御下に置くことがインターネットの標準になることに極めて問題があることは論を待たないDNSや暗号化通信同様サービスの利用状況の監視やメタデータの収集と利用、好ましくないサービスへの認証の拒否や認証情報の削除など膨大な問題が複製拡大再生産されることは言うまでもない。周知の通りGoogleなどはユーザーの暗号化ストレージ内を捜査し違法性があると判定した写真などのプライベートデータを削除していることおよびパスキーマネージャの同期に必要なパスキー共有サービスはメールサービスと分離されており通信の秘密と検閲の禁止による法的ハードルが全世界的に低下または消滅することから共有パスキー以外の現実的な選択肢を失うとクレジットカード決済と同じく全世界のサービスの認証が米国の支配下に置かれ米国の国内法や州法により違法性を裁定され米国外のサービスの認証情報まで使用不能化または削除されアカウント喪失やサービス終了の危険に晒されるようになる危険性が極めて高い。まあそうでなくともどんな理由を付けられようともはやこれ以上米国の気分に左右される範囲を増やしたくないだろう。認証の一国集中と米国のゲートキーパー化はインターネットの分散性と独立性を破壊する独裁的中央集権化である。なお州法でもその州へのサービスを停止できなければ米国全体の国内法であるも同然となる危険性が高い。クレジットカード問題の影響を受けているサービスはパスキーへの依存を排除すべき明らかなサービスである。保存画像一つでGoogleアカウントを丸ごと停止される問題が特定のサービスの認証情報一つで再生産され登録サービスの一つが違法認定されただけで全パスキーが使用不能になりすべてのアカウントが全滅する可能性もある。ある程度セキュリティかインテリジェンスの知識があればMicrosoftが自社の暗号化ストレージサービスにユーザーが保存したプライベートデータをご丁寧に暗号化解除して自国諜報機関に丸ごと右から左へ横流ししていた事実を思い出すだろう。厳格にE2E暗号化されていない暗号化サービスなど所詮この程度のものでありサービス側がパスワードをリセットできるサービスにユーザーが暗号化して保存したつもりのデータはすべて解読されるのである。さらに実際にはE2E暗号化は認証情報ごとに個別に行うことも可能であるため認証情報がE2E暗号化されていても暗号化データに付随するメタデータを利用してE2E暗号化された状態のまま特定のサービスの認証情報を規制可能である。現在個別規制不可能なように認証情報全体をE2E暗号化していたとしてもクライアントで復号および個別再暗号化すればいいだけであるため現在どのような暗号化をしていようといつでも常に規制可能である。パスキーの個別管理を共有サービス上で可能にするためには個別暗号化が必要であるためほぼ確実に共有パスキーは個別にすなわちパスキーの個別管理とサービスの個別規制が可能な形で暗号化され規制リスクを免れない。仮にパスキーを共有するサービスの国籍が分散したとしても国民に対するオンライン上のすべての攻撃価値を集約した極めて高価値の攻撃目標をわざわざ自ら作って差し上げること自体に絶大な問題があり敵国のみならず自国政府をも極めて強力に誘惑することになる認証をマイナンバーのような公的サービスに依存させる場合も同じ問題が生じるうえに中国同様のネット実名制に直結するこのような行為はリスク分散の対極にあるリスク集中でありリスク分散の概念のない馬鹿のすることである。パスキー以外の認証方式の排除はDNSを検閲しようと延々工作してるクソしつこい連中の前にカモネギを献上する行為そのものである。認証情報を集約する危険性は現代において散兵戦術をやめ密集隊形を取ることがいかに危険で身の毛もよだつかを考えれば容易く理解できる。何かを集積や集約するときは攻撃価値と危険性が高くなりすぎず限定的になるよう種類的および量的に分散させなければならないがパスキーは認証情報のあらゆる攻撃価値と危険性を共有サービスに集約させている。そしてパスキー共有サービスが多数新設されたとしても実際にパスワード共有サービスや仮想通貨取引サービスがそうであったようにほとんどのパスキー共有サービスは脆弱で危険である可能性が高く悪意のサービスが多数存在する可能性が高い)。少なくとも当のGoogleがパスキー以外の認証方式を廃止していないのに特にクリティカルでもない他のサービスが不必要に認証をパスキーオンリーにしてユーザーを失うのは間抜けであるGoogleは他のサービスには認証方式をパスキーに統一および制限し排他的に使用することすなわち排他的パスキーを勧めているがGoogle自身が使用しているのは非排他的パスキーである。パスキーが表の通り統一どころか場当たり的に乱立し形式のみならず安全性までも散乱する一方であることはさておき、そもそもパスワードさえ廃止すればマジックリンクのみ使用するサービスではフィッシング以外の主要なセキュリティ対策はサービスのセキュリティを総合的に強化するほうが効果的であり収穫逓減の転換点を超えてなお認証のセキュリティだけ過剰に強化し総合的に効果が低く効率の悪いセキュリティ強化をユーザーを失いながら続けてもかえって事業に有害かつ資源の浪費である。ましてやリカバリーコードを強制して再びフィッシングに対する脆弱性を復活させるなど論外である。パスキーは特にスマホにおいてパスキーを利用可能なユーザーの利用率を高めることができ事業に有益だがこれは利便性の利益であり安全性のためにパスキー以外の認証方式を排除することとは何の関係もない(スマホでの利便性のためにパスキーをサポートすることはやむを得ないが共有パスキーは禁止すべきである。PCではパスキーは基本的に必要ない)。日々不満の声の上がるパスキーのトラブルにより認証不能にならないようマジックリンクを残したほうが利便性と利用率が高まることは言うまでもない。念の為認証方式と安全水準の対応を次の表に示す。パスキーがリカバリーコードとともに導入されているためパスキーの現在の安全性はリカバリーコードとの組み合わせのものであるように錯覚させられるがリカバリーコードは一部のユーザーが使用しているに過ぎずパスキーの現在の実際の安全性はリカバリーコードがサポートされていてもマジックリンクとの組み合わせのものでありマジックリンクを廃止してリカバリーコードへの移行を完了すると安全性が致命的に低下する

認証方式 安全水準
パスワード パスワード
マジックリンク マジックリンク
パスキー/リカバリーコード パスワード未満
パスキー/マジックリンク パスワード以上マジックリンク未満
パスキー (不可能)

パスキーは端末の種類により利便性が大きく変わることも考慮しなければならない。生体認証可能であることが多いスマホでは生体認証パスキーで高い利便性を提供できるが生体認証非対応であることが多いPCですべてのユーザーに生体認証パスキーとマジックリンクの代わりにセキュリティキーを購入、携帯、使用、管理させることはまったく非現実的である。しかもセキュリティキーは物理的に脆弱で壊れやすく信頼性が低いため喪失を前提に容易にパスキーをリセットできなければならない(とはいえパスキーが壊れるたびにすべてのパスキーをリセットするのは苦痛が大きすぎ非現実的である。Google謹製のTitanを含め数ヶ月で壊れた事例が珍しくない壊れやすいセキュリティキーは信頼性が低すぎて少数の重要なサービス以外で一般的に推奨できる水準にないセキュリティキーの本質は壊れやすいマスターキーでありマスターキーが壊れやすくてはマスターキーの役割を担えず不適格であることは明らかである。このような問題もあってパスキーは普及の主体を共有パスキーに切り替えているのでありセキュリティキーは大多数の一般ユーザー用としては見捨てられ衰退する道筋にある。セキュリティキーは主に業務用として発展していく可能性もあるが生体認証に淘汰される可能性もありその将来性は非常に不確実である)。そして不可欠のマジックリンクにその他の脆弱なパスキーを足すよりマジックリンクのみのほうが安全でありマジックリンクより安全な認証方式であろうと認証方式すなわち攻撃の標的は少ないほど脆弱性の総数が少なくなり安全である。従って次のようにPCではマジックリンクを基本とし追加認証にセキュリティキーか生体認証を、スマホでは初回認証以外生体認証パスキー使わせるのが適切な認証設計である。リセットの終着点となるメールサービスはパスワード認証もサポートしなければならない(ユーザーの使用は必須ではない)。なおブラウザ以外のアプリでもディープリンクのマジックリンクにより認証できるスマホにおける利便性においてしか存在しないマジックリンクの問題はスマホのOSやアプリの問題であり認証方式の問題ではないスマホOSの内部ブラウザの問題などパスキーの修正不可能な原理的欠陥の数々に比べれば取るに足らないやる気の問題に過ぎずパスキーに浪費される膨大な無駄な開発リソースの1%でも割けば解決することである。既存技術で足りることをパスキーという偽りの欠陥新技術ですべてを解決しようと異常に固執するのは無駄な仕事で雇用と収入を得たいからおよび新技術で解決してキャリアを飾りたいからに過ぎない。

用途 PC スマホ
初回認証 マジックリンク マジックリンク
基本認証 マジックリンク パスキー(生体認証)
追加認証 パスキー(セキュリティキー/生体認証) パスキー(生体認証)

スキーマネージャは一見便利に見えるが安全性がマジックリンクより低い水準に低下するのはもちろんのこと認証方式をパスキーに一元化すると基本認証をマネージャ、追加認証をセキュリティキーというように基本認証と追加認証を使い分ける場合に問題が生じる。認証方式がパスキーに一元化された世界でパスキーを利便性を保ちながら脆弱にせず安全なまま使用するにはこのように脆弱で便利なパスキーと安全で不便なパスキーの使い分けが必要だが基本認証と追加認証の両方ともパスキーでは誤登録が生じやすくリテラシーの低いユーザーは見分けることすら困難だろう。マネージャの使用の有無にかかわらずパスキーはサービスにも登録されるためサービス上での安全管理においてユーザーはパスワードかマジックリンクならばセッションリストだけ管理していればよかったものがパスキーを使用するとパスキーリストとリカバリーコードリストまで管理しなければならずパスキーを使用することで管理が必要な認証情報と管理漏れによる危険性と管理コストが3倍に増加する(マジックリンクは短時間で自動的に失効しパスワードは一つしか登録できないため使用中の唯一のパスワード以外考慮不要だがパスキーは複数登録前提であるため記憶にないパスキーを確認し管理する必要がありリカバリーコードも存否および複数登録を確認し管理する必要がある。記憶にないパスキーやリカバリーコードというリスクの存在をリストアップして確認し管理できないサービスが安全であることはありえずそれゆえセッションはリストアップされているのである。従って管理が必要な認証情報と管理漏れによる危険性と管理コストをパスキーの1/3に削減できるマジックリンクのほうが安全で優れている。このようにパスキーが何か解決しようとするたびに余計に問題が複雑化し悪化するのはパスキーの設計が根本的に間違っている明白な証拠である。そしてパスキーのための認証体系全体が複雑化しても全体としてパスキーの問題は解決されておらず複雑化されたせいで問題を把握しにくくなり誤魔化されているだけである。パスキーになってもパスワードがリカバリーコードに名前を変えただけでフィッシングに脆弱なままでありパスワードを平文保存させられたせいで逆に危険性が増したのと同じことである。ユーザーが気をつけなければならないことが多いこと自体セキュリティとして欠陥なのである。これらはすべてマジックリンクならば無縁の問題でありすべてパスキーが無駄に増やし悪化させた問題と危険性である)。対してマジックリンクは使用後または有効期限経過後自動的に失効し削除され管理不要であるという極めて優れた特性を持つため有効期限がない共有パスキーが漏洩する危険性や削除し忘れた非共有パスキーが端末ごと漏洩する危険性を永続的に抱えるよりマジックリンクを使用するほうが安全である(漏洩後の対応もマジックリンクは短い有効期限内に新規ログインがなければ無害であることが確定したいていOTPであるため自分でマジックリンクを使用することで直ちに無効化することもできるがパスキーは永遠に有効であるため常に直ちに無効化しなければならずその手順も個別の複雑なもので途中で追加認証に足止めされ時間のかかるものとなる。これはクッキーのセッションIDを頻繁に更新すべき理由でもある。マジックリンクは主認証方式という単体で基本認証可能な認証方式の中でワンタイムとしても有効期限付きとしても唯一の認証方式であるパスワードマネージャでパスワードとパスキーを透過的に利用できることからも明らかなように共有パスキーは盗んでしまえばパスワードと同じ容易性で不正使用できすなわち共有パスキーはユーザー側に対して水際対策という脆弱で危険な前時代的セキュリティ戦略と能力しか提供できないのである(暗号化された状態で漏洩した場合でさえパスキーは有効期限がなく永遠に有効であるため将来的に解読し換金可能になるという将来価値により犯罪者の長期資産となる。このような将来的な解読可能性はすでに現実的な脅威として顕在化している。マジックリンクはサービスがOTPを直接保存していたとしても流出によるアカウントへの侵害リスクは限定的でありOTPに個別ソルトを加えハッシュ化して保存していれば有効期限内の解読が現実的に不可能であるがパスキーの鍵解読には時間制限がないため将来的に解読される可能性があることからマジックリンクよりパスキーのほうが流出と漏洩による侵害リスクが高い。よってサービスは安定的に使用されているパスキーがあれば他の長期間使用していないパスキーをユーザーに予告を通知したうえでなお以降1ヶ月以上の一定期間使用がなければ当該パスキーを安全のため削除すべきである。なおソルトを個別化するのはソルトごとの空間使用率を最小化するためである)。このためパスキーはインフォスティーラーの標的となり認証情報が闇市場で販売されるのに対してマジックリンクの認証情報はそもそも未使用で有効なものを入手することすら困難であるうえ入手できたとしても不正使用までのタイムラグのうちに有効期限が切れて失効するため闇市場で販売することが時間的に不可能でありさらに仮に不正使用にこぎつけたとしてもワンタイムであるため購入した犯罪者のうち一人しか使用できず事実上一人にしか販売できないため収益性が極めて低い(インフォスティーラーはパスキーにとって天敵に近い不都合な脅威であるためパスキーはパスキーの安全性評価にインフォスティーラーを含めたがらないがこのようなパスキーが行う安全性評価は現実の攻撃方法を基準にせずパスキーに都合のいい攻撃方法だけを基準に結論ありきで作られた自画自賛の詐欺広告に過ぎずもちろん実際はパスキーの詐欺広告で隠蔽または矮小化された現実の攻撃が貫通するパスキーの安全性評価を見るときはインフォスティーラーや認証情報不正使用など現実の重要な攻撃方法が隠蔽や矮小化されていないか警戒しなければならない。パスキーの秘密鍵は平文の前にまず暗号化状態で盗まれ漏洩する可能性が高いため現在被害が顕在化していなくともすでに漏洩していない根拠にはならない。インフォスティーラーでパスキーが盗まれるときはセッションも盗まれるからパスキーの脆弱性や危険性ではないという虚偽も典型的な隠蔽と矮小化であり実際はセッションは使用中の一部のセッションしか盗めず将来的にセッションのデバイス固定が実装されればこれも困難になるがパスキーはマネージャ内のすべての認証情報を盗まれる。パスキーはセキュリティの常識とかけ離れて改竄し捏造した事実に基づく安全性評価によりパスキーを安全に見せかける犯罪的傾向があり、マジックリンクはフィッシング耐性があるというのがセキュリティの常識にもかかわらずパスキーの公式文書ではマジックリンクだけフィッシング耐性があるともないともしない荒唐無稽な恣意的分類をしている、パスキーに不都合なインフォスティーラーや認証情報不正使用による攻撃に対するパスキーの安全性評価を行わないか矮小化している、リカバリーコードの危険性を度外視してパスキーを安全だと偽っているなどなどパスキーの安全性評価は実際の安全性と乖離した詐欺広告に過ぎず有害無益である。またバイス固定も既存暗号方式も将来的に絶対安全とは言えず10年以内に無力化される可能性も視野に入るにもかかわらず永遠に有効なパスキーという時限爆弾を大量に抱える行為には非常に大きな危険がある。パスワードですらマジックリンクによる強制パスワードリセットという最終手段があるにもかかわらずマジックリンクを排除したパスキーは流出や漏洩に限らず何らかの理由により不正取得され一度導火線に火が着くと共有でも非共有でもサービスがパスキーを強制リセットする方法がなくせいぜいユーザーにリセットを懇願しながら爆発を待つことしかできないのである。そして強制リセットできないパスキーは本来のユーザーに新しい認証情報を渡してアカウントをリカバリーさせる方法がないため一度侵害されただけでアカウントが永久に失われ回復不能な被害が生じる既存の認証方式ならアカウントをリカバリーできる回復可能な被害だったものがパスキーではアカウントをリカバリーできない回復不能な致命的被害に重大化および深刻化しているのである。これがパスキーがマジックリンクを排除した代償であり末路である。リカバリーの概念しかなく強制リセットの概念がないことがパスキーの根源的欠陥である(認証情報型認証方式と識別情報型認証方式の区別がついてないことも同様である強制リセットは認証情報のリセットであるため強制リセット可能であるためには認証情報を無効化や紛失等により喪失したあとでも新しい認証情報を受け取ることができる必要があることから認証情報喪失後に新しい認証情報を受け取れないすべてのリカバリー方式は強制リセット能力がないと断定される。従って認証を持続的認証情報のみに依存し新しい認証情報を受け取れないリカバリーコードは明らかに強制リセット能力がない。対して一時的認証情報のみ使用し認証情報喪失後に新しい認証情報を受け取れるマジックリンクが強制リセット能力の要件を満たしていることは明らかである。このようにリカバリーと強制リセットは厳密に区別されるまったく異なる概念である。マジックリンクはメールアドレスという識別情報の所有者であることの認証により一時的認証情報を受け取ることで二段階認証を行っており本質的に識別情報により認証するマジックリンクと認証情報により認証するその他の認証方式は根本的にまったく異なる種類の認証方式であることを理解しなければならないマジックリンクはハードウェアに一切依存しない完全に電子的な匿名の識別情報により認証する唯一の認証方式である。識別情報を不正取得されても識別情報の所有者認証と認証情報は侵害不可能で安全である。物理的侵害の困難性から特に電子空間では住所を知っただけで住人になりすますことは困難である。もし識別情報のみで侵害可能なら認証情報を含んでいるか識別情報そのものを直接的に認証情報として運用している。識別情報しか記載されていない書面等の物理媒体も実際にはその複製も改竄も困難な媒体自体が発行者の認証情報となっておりこの違いを理解せず混同して識別情報を認証情報として運用する誤謬と過誤を犯すと本来の安全性が失われる。認証上公開して安全なものは識別情報であり危険なものは名目的にどうであれ実質的な認証情報である。パスキーとリカバリーコードというパスキー公式推奨の認証構成ではそもそもリカバリーコード自体が強制リセット不可能であるためパスキーとリカバリーコードが両方流出すると漏れなく完全に強制リセット不可能な破滅的状況に陥るという形式で破滅的欠陥が理論的および形式的に完全に証明されこのように強制リセットとこの不可能性による破滅的欠陥は形式的証明により数学的に証明可能な極めて厳密な概念である。従ってパスキーの破滅的欠陥は形式手法により設計段階で事前に検出可能な厳密かつ明白な欠陥でありリカバリーコードより圧倒的に安全かつ強制リセット可能なマジックリンクを組み込んで破滅的欠陥を解消しない一般的理由が存在しない。認証を構成するすべての認証方式の認証情報が同時に侵害されないようにすることは非合理的かつ非現実的であり無駄である。認証情報型認証方式だけで認証を構成すること自体が根本的欠陥なのである認証情報型認証方式だけで構成された認証は著しく複雑で密結合で権限過剰で脆弱なものにすることで識別情報型認証方式に漸近するに過ぎないすべての認証構成は識別情報による認証方式が含まれ強制リセット可能でなければならない。これほど単純な問題と顕著な格好の機会においてさえ形式手法界隈が指摘して有用性を証明できないことから形式手法の研究者もエンジニアも現実のシステムの中から問題を見つけて解決する能力がないことがわかる)。この強制リセットに正式名称を付けるならサービスサイド強制リセットといったところか。なお強制リセットの用語や概念を使用したことがあったとしてもパスキーの設計に組み込まれていないから現に強制リセット不可能になっているのである。暗号の将来的解読可能性が現実的脅威となっている現状を鑑みれば流出耐性も漏洩耐性も時間稼ぎにしかならないというのが現在のセキュリティ水準における正確な安全性評価であり根本的解決には有効期限や強制リセットによる認証情報の無効化が絶対的に必要となる。そしてパスキーの設計と仕様では原理的に強制リセットは追加不可能でありパスキーオンリーに固執する限り有効期限も追加不可能である。これが本当の詰みである(厳密にはパスキーと別にリセット方式を追加して両方合わせてパスキーだと強弁すること自体は不可能ではないがサービスとメールの間に不要な中間者を追加しメール以外のアカウントへの不要な依存を追加した無駄に脆弱で危険な劣化マジックリンクに過ぎない。共有パスキーに限れば原理的に可能だがユーザーに対して非共有パスキーを禁止しなければならず危険な共有パスキーしか使えなくなりすべてのサービスに対して非常に侵襲性の高い危険な変更が必要になる。有効期限もせいぜい更新可能な一部のパスキーを更新することで擬似的かつ極めて限定的な再現しかできないうえOSやマシンを過去の時点へロールバックリカバリするだけでデバイス内に保存されたパスキーとそのアカウントをほぼ確実に喪失する。これは現在でも潜在する危険性だが有効期限を追加すれば確実に顕在化する。共有パスキーにして復元しようとしても最新のパスキーをサービスとユーザーと不特定多数の共有サービスの三者間で正確に同期させるのは非常に複雑で信頼性も低く同期失敗により最新の唯一有効なパスキーを喪失しやすく脆弱性も多く発生しやすく最終的におよび現在でも多くの場合実質的にパスキー喪失がアカウント喪失と同義となるパスキーでは無意味に危険すぎる方法である。このためこれらはパスキーを修正する現実的な方法になりえずパスキーはそもそも本来原理的に修正不可能であるから無理やり修正しようとしてもこのように意味のない修正にしかならないのである。こんな不毛な修正を繰り返して得をするのは一生修正し続けることで報酬を騙し取るパスキー開発者と推進者だけである。マジックリンクがあればパスキーの有効期限など素朴に実装して自動消滅したらマジックリンクで再登録するだけのことに過ぎない。認証情報に対する有効期限の強制と短寿命化はサイバー攻撃の激化から世界的に不可避的に進んでいる潮流でありパスキーはこの不可避の潮流に取り残されている世界はパスワードの定期的変更と同じことをすべての認証情報で行わざるを得なくなっているのでありパスキーも例外なく有効期限を付した定期的更新を要求されるのであるがパスキーは設計上これができないのであるパスキーは革新的な認証方式などではなく旧来のドングルの変種に過ぎないため根本的に設計が古いドングルの前時代性を免れないパスキーオンリーに固執する限りパスキーは有効期限の設定が不可能であることにより10年以内にセキュリティ要件を満たさなくなる可能性が高く認証方式として短期間で陳腐化および負債化し短命の欠陥認証方式に終わることは確実である無限の有効期限が許される永続的な認証情報は本質的に唯一メールアドレスだけである。しかしマジックリンクがあればパスキーに有効期限を追加するのが技術的には容易とはいえ永続的に有効な永続性パスキーから短期間で失効し喪失する揮発性パスキーへの変更はユーザーに甚大な混乱を引き起こすことが確実であるため揮発性パスキーへの移行前に5年程度はマジックリンクという命綱の導入を要請して確実に導入させなければならない。でなければパスキーという名前を変えなければ少なくとも新旧パスキーを混同して新パスキーの感覚で異なるサービスの旧パスキーを捨ててアカウントを喪失するユーザーが多発するのは確実であり実装上も混乱を招く可能性が高い。とりあえずパスキーは有効期限1年から初めてみよっか、マジックリンクは10分だけど)。認証の歴史を振り返ってみよう。従来、認証はパスワードとマジックリンクでできていた。パスキーは認証をパスワードとマジックリンクからパスキーだけにした。秘密鍵が流出すれば強制リセットしなければならないのはパスワードもパスキーも同じである(漏洩や解読などすべて同様)。では流出したパスキーをどのように強制リセットすればよいか?不可能である。仮にパスキーに更新機能があったとしてもサービスにログイン中のユーザーのパスキー以外更新できない。新しい認証情報を正規ユーザーに伝えてログインしてもらうマジックリンクはもうない。パスキーにはメールの代わりに正規ユーザーに新しい認証情報を渡す手段がない。詰みである。パスキーはパスワードを置き換えるに過ぎずマジックリンクを置き換えることは不可能である。強制リセット不可能という欠陥はもはや致命的という表現すら生ぬるく破滅的と呼ぶのが正確である。パスキーの極めて重要な破滅的欠陥を要約して繰り返す。パスキーは時限爆弾であり時限爆弾はマジックリンクがなければ解除できない。後述のようにパスキーにリカバリーコードを組み合わせたとしても破滅的欠陥は解消しないパスキーは解読を待つばかりだけでなく流出を待つばかりという意味でも時限爆弾的でありパスキーが安全なのはパスキーという時限爆弾が爆発するまでの間だけであり爆発の威力と被害規模は史上最強最悪であるユーザー側においても共有パスキーにより必須化されたパスキーマネージャにより漏洩リスクが増加したにもかかわらず漏洩したパスキーをユーザーが一括リセットしてリスクと被害を軽減することすらできないパスキーは設計と規格そのものが詰んでいる。パスキーマネージャの漏洩リスクは秘密鍵を耐タンパ性と容量のある専用ハードウェアに保存することで軽減できるが逆に言えばユーザーからのパスキー漏洩リスクはハードウェアに依存しているため確実に存在するであろう脆弱性が発見され修正されるたびに買い替え圧力に晒されることになり特に企業や政府にとって大きな負担となるサードパーティの共有サービスやマネージャもそうだが必要を満たす方法が各自の行為から不必要に物やサービスに変わるということは有料化して金を搾取する仕組みに変わるということなのである(経済学的に言うなら他人の労働に対してキャッシュレス手数料により課税し他人の労働者が自分の資本で働いているかのごとく利子を得る略奪ビジネスをさらに悪質化し我々の労働のみならず私的活動も含めすべての領域に資本家の所有を拡大しすべての行動に対して課税し利子を得ようとしているのである売却できない物は自分に所有権がない物でありアカウントに紐付けられてダウンロード購入したゲームなどのソフトウェアは売却不可能性から購入しても所有権がなく所有物にならないことが明らかである異様に有料化および高額化していくビッグテックの製品やサービスもすべてユーザーに所有権がなく企業だけが所有権を持つ独占的地位を作り出し濫用しあらん限りの他者からあらん限りの金を課税して搾り取ろうとしているからである農地を自己所有する自作農から農地を奪い小作人の身分に落とし地主所有の農地で農奴として強制労働させて生かさず殺さず小作料を搾取するのとまったく同じことであるすべての労働者は資本家が労働者の所有を奪い資本家の所有と置き換えることで労働者を小作人化し課税し搾取する略奪経済を開始していることを理解しなければならない独占的地位や優越的地位を濫用した有料化や値上げなどの不当な利益はレントであり独禁法公取の存在から明らかなように資本主義でも正当化されないものである我々の身の回りの物が自分で所有できず企業の所有物をレンタルし特定の企業に囲い込まれ、始めは少額でもやがて高額なレントを払い続けなければならないように変わっていっている動きは企業のレントシーキングが我々のデジタル小作人化デジタル農奴化を進める動きそのものである認証料もデジタル活動に必要なOSやデバイスに加えて新たに課されるデジタル関所通行料やデジタル人頭税である我々は自覚はなくともこれまで所有していた認証権を略奪され今後はマネージャに納税したり認証機関に承認されなければ認証できなくされようとしているのである我々は自分の所有権を奪われ政府や企業の所有物に侵略されることに嫌悪感を持ち拒絶し排除しなければ自らの所有権を守りレントの重税から逃れることができないさらに政府や企業がデジタルデバイスからその内外の私的空間を調べ周り操作するのが当たり前になれば個人は家の中でもオーウェルと同じ監視と支配の下に置かれ社会の中に個人が自由な場所はもはやどこにもなくなる今日では労働者が所有する物品等の微々たる資産でさえ重税を課される負の資産でないというだけで非常に有益な貴重な資産である所有権の侵略を止められなければ所有可能な旧時代の製品が高値で取引されるディストピア的世界が訪れる日は近い)。だから我々の生活はどんどん必要な費用が増えていきいよいよ認証も有料化する運びとなったのである(後述の認証有料化と合わせてハードウェアとソフトウェア両方が有料化される)。仕方ないから金払うかと思っている人間は邪悪な企業の策略にはまり騙されて課税されているに過ぎない。また主に一般消費者についてだがダウンロードしたリカバリーコードをほとんどのユーザーが放置している中で秘密鍵を守るセキュリティチップなどのハードウェアを更新するために金をかけさせても無意味と言う他ない。サービスの認証以外のセキュリティには有効でもパスキーがリスクを煽り金を払わせる理由にしているサービスの認証には無意味である。リカバリーコードが不要な企業や政府ではハードウェアのセキュリティ要件化は企業や政府から金を搾取する方法として優れているがパスキーとシステム全体の設計により多層的および総合的に漏洩に耐性を持たせておけば効果の低い水際対策に過ぎないハードウェアに多額の支出を強いられる価値はなく基本的に不要な出費でありパスキー関連のセキュリティは安全を有料化して収益化するために意図的にセキュリティをハードウェアに依存させ安全性を低下させる悪質な設計がされていると言わざるを得ない。自動更新や有効期限などにより安全化されシステムの安全性が水際対策に依存しないように設計されると末端のハードウェアの更新のような細々した対策に多額の費用をかける価値と必要性が下がり更新費用で儲けられなくなるのである。なおTPMは容量が非常に小さいためせいぜいデバイス認証用など固定数ないし少数の秘密鍵しか保存できず可変数の多数のパスキーに耐タンパ性を持たせることはできず漏洩を防げない。にもかかわらず最悪なことにパスキーという時限爆弾は強制的にパスキーマネージャに自動登録されるウイルスのごとき改悪がされユーザーにはパスキー強制自動登録完了の通知しかされずユーザーの知らぬところでウイルスやスパイウェアのように許可なく勝手にパスキーが作成され登録され脆弱性を作り込まれ危険に晒される(https://developer.chrome.com/blog/passkey-automatic-upgrades)。パスキーはユーザーのアカウントに勝手に時限爆弾をインストールしているのである。前述の通りパスキーは解読や流出などによる爆発の時を待つ史上最強最悪の時限爆弾でありこれほど危険なパスキーという史上最強最悪の時限爆弾が強制自動登録され大量散布されている事実は極めて危機的かつ破滅的である(はてなおめーもだ)。パスキー公式団体のFIDOアライアンスはもはやテロ組織と言って何ら差し支えないことはパスキーが引き起こす全世界的被害の深刻性と甚大性から明らかである国家レベルの攻撃者がパスキーを起爆させる危険性を鑑みればパスキーは西側全体の安全保障上の巨大な時限爆弾でありこれが爆発する危機である。またパスキーの強制はリカバリーに必要なリカバリーコードの強制に繋がる。さらにパスキーを強制自動登録されたPCはローカル認証がなく実質的に認証が無効化される可能性が高いためデバイスとサービスで多層防御しているつもりが実際はサービスの防御が知らぬ間に削除されている危険性や家や共有スペースの共有PCでサービスにログインしたらパスキーを自動登録され他人がログインできるようになる危険性がある。共有サービスにログインしていれば自動共有されるリスクがありしていなければリカバリーコードを取得していなかったためにリカバリーが困難または不可能になりアカウントを喪失するなどのリスクもある。つまりパスキーの使い方とリスクを知らずに突然強制されて使うことのリスクでありパスキーは使い方とリスクを知らないのに無理やり使わせると危険な認証方式なのである。これらはパスキーとサービスの意思と行為で引き起こされる被害であるためパスキーとサービスに被害の責任が生じる法的リスクが高い。パスキーの強制自動登録により認証を無効化されたことによる被害からサービスが訴えられると法的責任を認められる危険性が高いためパスキーを強制自動登録させるなら先に規約変更などによる免責が必要と考えられるがそもそも認証を無効化することがあってはならないことであるため強制自動登録を無差別に実施することは認証無効化のリスクが広範に存在することを認識していれば不可能である。パスキーの登録が認証無効化になるかはユーザーの利用環境と利用方法次第であるためユーザーの判断によってしかパスキーを認証無効化にならないよう安全に強制自動登録することは不可能である。パスキーの強制自動登録はこれほど危険であるため法的免責が必要なのでありパスキーはこれほど危険な機能を法的リスクの説明もなく気軽に作って広めているのである。にもかかわらずGoogleは強制自動登録を最も避けるべきPCから導入を開始している。なおパスキー自身は法的に免責済みなので道義的責任こそ負えど法的責任を負う可能性があるのはサービスのみである。これほどの危険性にもかかわらずマジックリンクならばメールに前書きする説明や警告をパスキーはいつどこで説明や警告しているのかというと認証後にやる気のないリンクを片隅に小さく一瞬表示するだけである(https://developer.chrome.com/docs/identity/webauthn-conditional-create)。認証が済んでこれからサービスを使う用があるのにわざわざリンク先のドキュメントを読むユーザーなどほとんどいないことに疑いの余地はない。コピー機から原本の回収を忘れるのと似たようなものである。リンク先のドキュメントを読む確率は購入した商品を開封して中身を手に取る前に小さな保証書を開いて読む確率くらいだろう。パスキーは明らかにユーザーへの説明責任を果たしていない。まあパスキーにとってこれらの問題はユーザーに責任転嫁すればいいから問題ないのだろう。パスキーの動作と危険性は今やウイルスやスパイウェアに近いものに悪質化しており予備知識なしに制御も対策も不能で注意喚起と対策が必要な水準にある今やユーザーにパスキーを使用しない権利はない。すでに周知の事実ではあるがGoogleの標語がBe evilとDo the evil thingであることは論を待たない(Googleが標語をDon't be evilからDo the right thingに変えたのは要するにニュースピーク(NEWSPEAK)とダブルスピーク(DOUBLESPEAK)である(https://ja.wikipedia.org/wiki/%E3%83%8B%E3%83%A5%E3%83%BC%E3%82%B9%E3%83%94%E3%83%BC%E3%82%AF)。これ指摘したの俺が世界初か?Googleで検索してもなぜか出てこねえや。ニュースピークにevilという言葉は存在せずevilという言葉を使うこともevilという言葉で考えることも許されないGoogleが検索結果を検閲し情報と思考の幅を狭めるのもニュースピークであり検閲された情報のことを考えることは犯罪思考(CRIMETHINK)である企業や政府が自らのDo the evil thingを電子顕微鏡でなければ見えないサイズの良い部分だけ切り取って誇張しDo the right thingに言い換えるのもダブルスピークである。正しい言葉ときれいな言葉しか許されない正しくきれいな楽園というのはこういうものである。政府と大企業や正しい思想と言説に逆らう考えを持つことは犯罪思考であり市民の幸福はYouTubeや政府やマスメディアからプロレ飼料(PROLEFEED)を流し込まれることである(https://open-shelf.appspot.com/1984/appendix.html)。オリンピックサーカスや選挙前の給付金パンや誰も守らない公約をプロレ飼料だと思うことも犯罪思考である公正政府や偉大企業の陰謀を疑うことはすべてライン超えの陰謀論であり資格も立場もない有象無象の良き市民がライン超え判決を下す裁判官ごっこに疑いを持つことも犯罪思考でありおぞましい旧思想(OLDTHINK)である。犯罪思考と旧思想は犯罪であるため通報され逮捕され有罪となる。清潔で単純で狭く不自由な社会で思考せず生かされて市民は幸福である市民はビッグブラザーにプロレ飼料を流し込まれて喜びビッグブラザーに教育された通りダックスピーク(DUCKSPEAK)しなければならない。なおニュースピークの対義語はイギリス語と京都弁である)。まあ破滅的欠陥を大々的に広めた実績から邪悪に愚かを加えてもよい。さて爆弾にはサービス側の公開鍵、ユーザー側の非共有秘密鍵、共有秘密鍵の3種類がある。公開鍵が解読され秘密鍵が特定される可能性は低いように思えるが鍵が何十年でも残ることを考えると少なくない割合が不発弾化する可能性が高いと考えるべきである。非共有秘密鍵は物理デバイスの交換に合わせて更新される可能性が高いため比較的安全だが全パスキーを数年ごとに更新するのは非常に手間であり将来的にデバイス固定が無力化される可能性も残る。共有秘密鍵は鍵が流出する可能性も暗号化した鍵を解読される可能性も最も高く最も危険である。暗号解読技術の発展や量子コンピュータの完成を踏まえるとしても認証方式には新方式や新アルゴリズムへ更新しやすいものと更新しにくいものがありパスキーは既存の認証情報を破棄し強制リセットを利用して認証方式を強制的にアップデートも移行もできないため当該認証方式の認証技術が突破され安全な新方式や新アルゴリズムへの更新が必要になっても非常にかつ最も更新困難で侵害を防げない認証方式である将来的に認証情報の大規模不正使用がいかなる理由によっても発生しないことを保証することなど不可能である以上、解読、流出、漏洩、脆弱性、不具合、事故、内部犯行、その他の理由にかかわらずサービスは認証情報の不正使用が発生または予想される場合可能なら一人からでも、多数なら必ず認証情報を無効化できなければならず大規模な不正使用に対して適切に認証情報を無効化しリセットできなければ基本的に事業破綻するにもかかわらずパスキーが認証情報の不正使用が発生する可能性を一切想定しないゼロリスク信仰に基づいて設計され認証に不可欠な強制リセット能力が欠落していることはパスキーの信じられないほど初歩的で破滅的な欠陥でありパスキーが危険すぎて実用不可能な欠陥認証方式である事実を決定付けている。非常に重要なことなので誤解のないよう繰り返すがパスキーという時限爆弾は解読に限らず流出、漏洩、脆弱性、不具合、事故、内部犯行などの現時点でも発生確率の高い事象によっても爆発する。ユーザー数減少が株価と進退に直撃することは言うまでもないだろう。パスキーの暗号方式が経年や脆弱性発覚により脆弱化しアップデートしなければならない場合も秘密鍵流出と原理的に同じ問題が生じ脆弱化した暗号方式の強制アップデートが強制リセット同様不可能になる秘密鍵流出時と同じくアクティブユーザーはアップデートなしにサービスを利用不能にすることで強制アップデート可能だがインアクティブユーザーは認証情報を無効化せず侵害されるか無効化してユーザーを永遠に失うかの二択となる。さらにパスワードのハッシュがサービスから流出して一括強制リセットされた事例がこれまで数えきれないほどあったようにリカバリーコードのハッシュがサービスから流出した場合もパスワードと同じく一括強制リセットする必要があるが当然ユーザーは手元のリカバリーコードを無効化されてリカバリ不能に陥りマジックリンクでしかリカバリーできない結局パスキーもリカバリーコードもマジックリンクなしでは脆弱すぎて使い物にならないのである。そしてリカバリーコードの一括強制リセットによりリカバリーコード所持率が最小化したところにパスキー不正使用攻撃を受けると被害が最大化し最悪の状況になるがこれを避けるためにリカバリーコードの一括強制リセットをためらうとリカバリーコード不正使用攻撃を受けるリスクが生じるというジレンマに陥ることも重大な問題である。このジレンマは同じ破滅的状況がパスキーとリカバリーコードどちらのほうが引き起こされる可能性が低いかを選ぶ選択でありどちらを選んでも被害規模が閾値を超えれば事業破綻し破滅するのは同じである。サービスとしてはリカバリーコードのハッシュが解読される前にユーザーにリセットを要請または強制することで順次安全にリセットしたいところだが著名人や重要顧客を狙い撃ちに解読および侵害され被害を報道されるリスクに対しては効果が低くリセットを要請または強制するだけでも一括強制リセットよりユーザーの負担が大きいためパスワードリセットよりユーザーからの評価と社会的評判の悪化を避けられないことからパスキーは攻撃が発生すればどう対応しても従来の認証方式より被害が大きくなる。そもそも強制リセット能力とフィッシング耐性その他ほぼすべての耐性が欠如している危険極まりないリカバリーコードを選択する余地などなく選択しても強制されない限りリカバリーコードを取得するユーザーは少なくそれを紛失せず必要時に適宜使用できるユーザーなどほとんどいない。以前も書いたように一般的なユーザーは多数のサービスの多数のリカバリーコードを適切に管理などできずそのような明らかに一般的な人間の能力を超えることを要求し過剰な負担をユーザーに普遍的に強制する異常な認証方式が破綻しているだけである。すなわちリカバリーコードにはスケーラビリティがないにもかかわらずリカバリーコードをスケーラビリティが必要な一般的リカバリー方式にすること自体が根本的に欠陥なのでありリカバリーコードを標準的なリカバリー方式として一般的に使用させることは一般的な人間の能力を超えているため根本的に不可能なのである。よってリカバリーコードは普及するほど喪失率が上がりリカバリ不能なサービスとユーザーが増えパスキーの破滅的欠陥の危険性が増大する。またそもそもマジックリンクを廃してリカバリーコードへ移行するなら全ユーザーにリカバリーコードのダウンロードを強制しなければリカバリー方式として機能しないにもかかわらず公式文書はこの必要性と問題に触れていないためユーザーがそもそもリカバリーコードを取得していないことでリカバリ不能になる危険性も高く特別な代替方式のないすべてのサービスがマジックリンクを廃して全ユーザーにリカバリーコードのダウンロードを強制する世界へ移行することも非現実的である(GitHubリカバリーコードをダウンロードしなければサービスを一切利用不能にすることでユーザーにリカバリーコードを強制的にダウンロードさせる極めて不快で危険な方法を取っている。このようにリカバリーコードに移行するなら全ユーザーにリカバリーコードを強制的にダウンロードさせる必要があるがほぼ全サービスがそれすらできておらずパスキーを過信して強制ダウンロードを怠った結果ほとんどのユーザーがそもそもリカバリーコードを取得せずリカバリ不能になる危険性も高い。またほぼ全サービスがリカバリーコードの強制ダウンロードを実施していない事実はほとんどのユーザーは危険なリカバリーコードを適切に管理運用する能力がない現実をサービス側が正しく認識していることを示している)。さらに強制ダウンロードを実施してもユーザーのリカバリーコード所持率が上がるに比例してフィンシングの成功率が上がりリカバリーコードに対するフィッシング攻撃が開始されるという致命的ジレンマに陥ることからリカバリーコードは完全に破綻しており一般化不可能である。マジックリンクを廃止せず併用するならリカバリーコードなどパスワードより危険な脆弱性の塊に過ぎないことは言うまでもない。パスキーがいかに多くの不都合な根本的、致命的、および破滅的欠陥を隠してパスキーを安全だと偽ってきたか理解できただろうか?パスキーの開発者と推進者は強制リセット不可能その他の根本的欠陥によりパスキーやリカバリーコードを使用するサービスと運営者に損害が発生したとき責任を負えるのだろうか?まあ責任を認めずプロパガンダを打ち上げかき消し塗り潰すかとんずらするだろう。なおリカバリーコードの管理ツールを作ったとしてもリカバリーコードという名のパスワードを管理するパスワードマネージャに過ぎず管理方法がパスキーと同じであるためパスキーと同時に喪失する可能性が高い無意味な二重化である。こうしたものは同時に失わないよう別々の場所と方法で管理するのがセキュリティの常識であるからリカバリーコードは金庫で保管するような異なる管理方法が推奨されパスワードマネージャのリカバリーコード版が用意されないのであり少なくともパスキーとリカバリーコードを同じマネージャで管理することはセキュリティ上許されずありえない。別のマネージャを使おうとしても同じ管理方法である以上効果が低いうえそこに待っているのはサードパーティの有料マネージャである。そもそもパスキーとリカバリーコードのように複数の認証情報をユーザーが管理しなければならない場合同じ方法で管理すれば侵害も喪失もすべての認証情報で同時に発生するため無意味であり別の方法で管理すれば各認証情報が侵害される確率が合計されることでアカウントが侵害される確率が倍増する。すなわちアカウントごとにユーザーが管理しなければならない認証情報の数を増やすこと自体が一般向けの認証設計として欠陥なのである。よってパスキーとリカバリーコードの組み合わせはユーザーが管理しなければならない認証情報の数を2つに増やしていることにより従来より劣る廃止すべき誤った認証設計であることが証明される。そしてすべては単にマジックリンクを使うだけで解決する完全に無駄な費用と労力であり得するのは無駄な仕事で金を稼いでいる詐欺師だけである。話を戻していずれにせよパスキーは認証情報を不正使用された場合の対策が欠如しているためいざ不正使用攻撃を受けると仕様上被害が拡大する前にユーザーのアカウントを自ら永久に使用不能にするか被害が拡大するのを眺めているかしかできず認証情報を大規模不正使用された時点で詰んで破滅が確定する。一時的に認証を停止することも可能だが認証の再開と同時に攻撃も再開するため意味がない。マジックリンクという命綱が残っているうちはまだ助かるが命綱を捨てて公式文書の奨励する通りパスキーオンリーの認証が完成すれば後に待つのはこのような詰んだ状況であるパスキーの安全性はサービス側の安全性すら短期的な安全性に過ぎず長期的には逆にサービスとこれを運営する企業や国にとっても既存のどの認証方式にも存在しなかった史上最悪の即死リスクを抱え込むことになる。厳密にはパスキーのマニュアルを破り捨ててサービスを停止させマジックリンクを大至急実装すれば助かる可能性もあるがパスキーを採用したためにそのような状況に陥るのは無能そのものでありユーザーのメールアドレスを確保できていなければあとからマジックリンクを実装することすらできずいまさら戻ってきてくれと言われてももう遅い(マジックリンクの緊急実装でさえ前提となる認証済みメールアドレスの必要性が公式文書で一切説明されていないため前提条件すら満たしておらず仕様上実施不可能であり実際の実施可能性はパスキーの仕様上要求されていないメールアドレスをサービスが偶然保持しているかに依存する完全な他人任せ運任せである。パスキーは代替認証方式としてマジックリンクを認めていても強制リセットの概念がないためリカバリーコードの下位ないしせいぜい同列の選択肢としてしか提示しておらずリカバリーコードなど他の選択肢を選ぶと強制リセット不可能になり破滅的欠陥を抱えることになる。またマジックリンクを実装し再稼働するまでのダウンタイムにより発生する損害に耐えられるかも当然死活的に重要である。なおマジックリンクの提供を非常時のみに限定することはできないリカバリー手段は常時必要であり最も安全なリカバリー方式がマジックリンクだからである。そしてリカバリー手段が攻撃可能なら攻撃者はその手段で新しいパスキーを登録して認証すればいいだけでありマジックリンクによる認証をリカバリーのみに制限しパスキーがなければサービスを使えないようにしても正規ユーザーによる利用を不便にしサービスの利用率と収益を下げるだけであるからである。パスキーしか使えないサービスとパスキーとマジックリンクどちらでも使えるサービスでは後者のほうが利用率が上がり競争優位性があることは自明である。主たる認証方式がパスキーのように環境制限と実装バグが多く使用難易度が高いものであり認証方式の追加により認証の安全性が有意に下がらないならリカバリーコードのような通常の認証と両用できないリカバリー方式より通常の認証と両用することで認証方式数の最小化による安全性の向上と認証手段の冗長化および多様化によるサービスの利用率と収益の向上を両立できるリカバリー方式のほうが優れている。誰かがパスキーの使用に成功したことは残りの全員も成功することも以降も成功し続けることも意味しないことは言うまでもない。パスキーの強制はパスキーを使えず脱落したユーザーを代替認証方法を提供する競合サービスへ無償譲渡することと同義でありパスキーなしでも使えるという宣伝広告が訴求力を持つパスキーにより認証成功率や認証所要時間などサービスの利用率に関する測定値が向上したという謳い文句はパスキーへの移行に成功したユーザーだけを計測しその後のトラブルによりパスキーまたはアカウントを利用不能になったユーザーを除外することで二重に生存バイアスをかけ必然的に都合のいい一部のユーザーをチェリーピッキングした、全体の傾向を表さず一般性のない統計であるためパスキーを使用中の一部のユーザーにおける利用率と収益の向上を根拠にパスキーオンリーの認証を推進し全ユーザーにパスキーを強制しても残りのユーザーの多くが即時または漸進的に認証不能になりパスキーを強制しなかった場合より利用率と収益が低下する可能性が高い。危険だが利用率と収益性の高い旧式の認証方法を廃止できなかった証券会社はその理論的好例であり一般的にはマジックリンクにより安全な代替認証方法を提供できるため安全性も問題ない。パスキーを強制すればパスキーを使えないユーザーとその収益を失うという当然の結果が受忍されていたのはパスキーを使用しないことによる被害がそれを上回ることで正当化されていたからでありパスキーを使用せずとも安全に認証できまたそもそもマジックリンクの排除が不可能ならパスキーの強制による損失を受忍する前提が消滅し損失を生み出しながらパスキーを強制する正当性と合理性もすべて消滅する安全性のためにパスキー以外の認証方法を制限してユーザーを失ったサービスはすでにパスキーに騙されたことで多大な損害が発生しており本当はユーザーを失う必要などなくパスキーに騙されて無駄にユーザーと収益を失わされただけであるパスキーを使えないユーザーを安全性のために失う必要など実在せずこれまでサービスとユーザーが耐え忍んできた損害と労苦のすべてはパスキー開発者と推進者に脅迫され騙されていただけのことである)。メールアドレスを確保できていても認証済みでなくかつ認証に使用されると予測できない登録形態であり免責も行っていない場合誤登録先の他人を認証させて被害が生じると法的にかなりリスキーであり治安の悪い訴訟社会の国では完全にアウトだろう。インシデントが発生してからパスキーの強制リセットとマジックリンクの導入が完了し再稼働するまでの期間、サービスが多くのまたはすべてのユーザーにおいて利用不能になり特にB2Bや金融サービスにおいてユーザーに多大な損害を与える可能性が高いことも訴訟リスクが非常に高く被害額が大きければ責任の有無にかかわらず巨額の訴訟に直面する可能性が高く被害者が多ければ消費者保護の対象となる場合特に免責を貫通するリスクが高い。こうして散々無駄な金と時間を使ったあげく結局マジックリンクを通して認証済みメールアドレスを確保してマジックリンクでリセットするのが一番いいというスタート地点に戻る。セッションが無効化できなければならないことが自明であるのと同様に認証方式はサービス側により認証情報を無効化し更新できなければならないことが自明にもかかわらずパスキーがこの自明な想定ができておらず自明な要件を満たさないゼロリスク信仰に基づく設計と仕様になっていることはパスキーの極めて根本的かつ稚拙な破滅的欠陥でありパスキーが知能の低い馬鹿の集まりにより開発され推進されている事実を露呈している後述の公式文書からも明らかな通りFIDOアライアンスとビッグテックなどバカとクズが首を並べているに過ぎずパスキーを訳知り顔で解説し啓蒙している連中もパスキーのこれほど膨大な欠陥をすべて見逃し言われるままに礼賛する無能な家畜と狡猾な詐欺師の群れに過ぎないというのが歴史的評価になるだろうこれだから身の程をわきまえない無能な働き者は殺すしかないということが歴史的教訓になっているのであるパスキーがゼロリスク信仰でないならば最初に登録したパスキーを共有して絶対に侵害されずそれゆえ更新する必要なく永遠に使い回し続ける馬鹿げた想定の設計と仕様になっているはずがない。この知能の低すぎる頭の悪い認証方式日本人が作ったのか?メルカリとドコモが張り切ってるのもゼロリスク信仰大好きな日本人との親和性だろう。パスワードの定期更新はアンチパターンとして確立しているが正確には定期更新したほうがよいが適切に定期更新することが現実的に不可能であるから定期更新を断念しているのであるためこの規範はパスキーには当てはまらずパスキーは定期的に自動更新して安全を確保しなければならない。なおこの自動更新はユーザーのクライアント上でマネージャが独立した動作として行うことを想定している。パスキーの定期的自動更新は非常に高い有効性から第三者からは行わない理由がないように思えるがパスキーの定期的自動更新の必要性と有効性を公式に認めるにはパスキーは流出も漏洩もしないから更新不要というゼロリスクと無謬性を公式に否定しリスクの存在を認めて宣言しなければならずリスクの公認は破滅的欠陥の公認と同義であるうえ結局パスキーを更新しても更新漏れを防ぐことすらできずパスキー全体の評価と信用は著しい低下を避けられないためパスキーはどれだけ適切に対処しても大損しかしないこの問題を自分から打ち明けることができないのである。宿題を隠して溜め込んでいることを親に言えない小学生と同じである。愚鈍な親は溜め込んだ宿題を見つけるまで時間がかかるか見つけられないが賢明な親はすぐに見つける。定期的自動更新はパスキーの永続的有効性の危険性に対する非常に効果的な緩和策であるが起動中のマネージャで管理されていないパスキーは更新できないため依然として有効期限より危険であり有効期限を加える必要がある。さらにリセット方式においては強制リセットが可能であることが絶対条件となりこのためには認証と独立して全ユーザーと疎通する方法が必要であるが全ユーザーと疎通する普遍性と確実性と一般性を備えた方法はマジックリンクしか存在しない。普遍性も確実性もないリカバリーコードに実効性がなく強制リセットを可能にする能力がないことなど自明であり論ずるに及ばない。電話や対面など他の方法を利用可能な場合も少数あるがメールほど一般化可能な一般性はなくほとんどの場合メール以外の選択肢は存在しない。このためリセット方式においてマジックリンクは固有の強制リセット能力により認証方式とは比較にならないほど絶対的独占的地位にありリカバリーコードなど強制リセット能力がない時点で欠格で本来比較対象にすらならないFIDOアライアンス企業を始めとする多数の企業が極めて危険なリカバリーコードを無差別に配布しているのも極めて危険なリスクと負債の爆弾を企業自ら無駄に積み上げて自社の爆破に向けて邁進しているだけであり少しでも知能があればこんな無駄な自爆営業はしない。パスキーにしろリカバリーコードにしろこんな馬鹿な自爆で自社と株価を爆破したら倒産を免れても役員も関係者も解任祭りだろう。パスキーは公式文書にパスキー侵害時の認証情報強制更新経路確保のために認証情報送付先となるメールアドレスを確保する必要性もマジックリンクを実装する必要性も強制リセットの手引きも一切記載なくパスキーのみおよびフィッシング耐性認証方式のみの認証を推進しているだけであることおよび本稿公開後即座に有識者から説得力ある回答がなされないすなわち強制リセットという極めて単純明快で自明な要件に対して答えが予め用意されていないことからパスキーが強制リセットとメールアドレスとマジックリンクの必要性を考慮していないことは明らかであるサービスの認証情報の強制リセット能力は建造物の消火設備のようなものでありパスキーがあるから強制リセットできなくていいなどということは許されずむしろ消火設備と同様に強制リセットは法により義務付けてでも具備させなければならない必須能力である(このような要件は動作に個別の判断と実行を要し不発の可能性が少なくない機能でなく一個のシステムが生物的に備え可能な限り無意識的に発揮される能力として定義するべきである)。パスキーはサービスにマジックリンクの具備を必須化しメールサービスの安全化をパスキーとセットでSPF以上に推進していなければならなかったがそれもしていない。メールサービスが安全化されればますますマジックリンクを使わない理由がなくなるだけなのだから当然である。そしてリセット方式をマジックリンクにするならば認証方式をパスキーのみに制限する必要などないことは前述の通りである。重大な問題を生み出す修正不能な根本的欠陥がパスキーから次から次へととめどなく湧いて出るのはパスキーの設計が絶望的に破綻しているからとしか言いようがない。なおマジックリンクは代替基本認証方式として用意しておくだけでリセット方式として機能するため基本的に基本認証とリセットを区別する必要はなく実装を共通化できる)。このように犯罪者にとって最悪の踏んだり蹴ったりな認証方式がマジックリンクなのでありマジックリンクを廃止させてパスキーを普及させようとする行為は犯罪組織と共謀していると見なさねばならないほど犯罪的に馬鹿で愚かな行為である。さらにマジックリンクは想定される脅威に応じて必要上の許容範囲に収まる範囲で追加認証や再認証を追加することで柔軟に拡張し高度な標的型攻撃に対しても安全性を確保できる)。ゆえに生体認証を使用できない場合は基本認証にマジックリンクを使用し追加認証にパスキーを使用すべきなのである(パスキーが追加認証や再認証専用ならば流出や漏洩等した場合も基本認証できないためインフォスティーラーやパスキーリスト管理不備の危険性が低い。認証頻度が多ければ基本認証に非共有パスキーを使用するのもやむを得ないがスキーマネージャはそれ自体が攻撃ベクトルと脆弱性を増やすため使用せずに済むなら原則として使用しないほうがよい)。普段使わずあまり認証情報を入力したくない端末で認証する場合も共有パスキーは共有パスキーを管理する最も重要で危険な認証管理アカウントでログインし認証管理アカウントとその認証情報とすべての共有パスキーを暴露しなければならないがマジックリンクは予備または使い捨てのメールアカウントでログインして認証用のメールアカウントから認証メールを転送するだけで足り暴露を最小限に抑えて認証できる。マジックリンクは使い捨てなのでパスキーのようにパスキーの削除や共有の解除を忘れる恐れもない。これらのことからわかるようにそもそもパスキーは異なる端末で最初の認証をどのように行うかという問題を解決できておらずパスキーを共有するにしてもパスキーマネージャのアカウントにログインする危険を犯すより任意のメールアカウントでマジックリンクを受け取るほうが安全である(パスキーはすべてのパスキーを常時共有するがマジックリンクは一つのマジックリンクだけを有効期限付きすなわち一時的にしか共有しない。従ってパスキーは認証管理アカウント内の全20アカウントのうち1アカウントを1年に1回共有する場合有効期限10分のマジックリンクに対して実に105万1200倍も危険である。共有のための認証管理アカウントもパスキーはパスキーマネージャという最も重要で危険なアカウントへの認証情報を入力しログインしなければならないがマジックリンクは使い捨てという最も安全なアカウントへのログインで足りる。バックアップについても暗号化したバックアップファイルの鍵の一部または全部をパスキー共有サービスが保持しパスキーの共有、復元、移行等の範囲を制限することで安全性を高めても引き換えに他の共有サービスに移行できなくなり、BANされたと特定できるユーザーが別のアカウントでバックアップを復元しようとするのをどうするかという問題も生じ、パスキーを他のマネージャへ移行するためのファイルをどのパスキーマネージャでも使えるよう独立的に暗号化すれば一般ユーザーの設定した脆弱なパスワードをローカルで無制限に総当り攻撃でき平文で保存しているのと大差ないが、マジックリンクならば認証情報をローカルに保存するそもそも危険な行為を行う必要がなくメールアドレスを複数登録しておけばいいだけでありパスキーが愚かにも自分で再発明して自縄自縛している初歩的な過去の問題と無縁である。なお共有サービス間の鍵転送が可能になっても共有サービスを侵害やBANなどにより利用不能になった場合バックアップによる移行しか頼れずそのバックアップによる移行ができなければ手動ミラーリングを任意の数のミラーリング先へ事前に行っておく必要がある。自動ミラーリングするとしてもそのコストを負担しながら高いセキュリティを提供できるのは現状に輪をかけてプラットフォーマーか有料サービスばかりだろう。バックアップなら移行先の制限もコストもないがミラーリングをバックアップ代わりに使うと冗長化する数だけプラットフォーマーか有料の共有サービスが事前に常時必要になり認証の独占や有料化の色合いが非常に強くなるパスキーをバックアップできない代わりにプラットフォーマー以外の安全性と信頼性が最低限ある月額500円の共有サービス2つにミラーリング冗長化するだけでバックアップできれば無料だったものが毎年12000円の支払いを負担させられるように変わるパスキーを共有サービスに保存せず転送のみ行う方法もあるがこの場合パスキーを保存した唯一またはすべてのデバイスを喪失すると同期設定済みでも共有サービスにパスキーが保存されていないためパスキーを復元できずすべてのパスキーとアカウントを喪失することになるAppleiCloudキーチェーンはすべてのデバイスを紛失しても復元できると明記しているためパスキーを保存していなければならないが保存していなければ当然復元不可能である(https://support.apple.com/ja-jp/guide/iphone/iph82d6721b2/ios)。サードパーティApple同様にパスキーを保存しない保証はなくサードパーティの料金はパスキーのバックアップ代わりにならず転送しかしないサービスとしては高すぎる。しかしバックアップからミラーリングへの変更は良く言ってもせいぜい侵害リスクが喪失リスクに変わっただけでバックアップもミラーリングもパスキーの問題解決にならないことに変わりない。また周知の通りミラーリングはバックアップの代わりにならずミラーリングは一つの共有サービスで発生したデータ破損の被害を他の共有サービスに同期拡大し被害の発生確率を上げる。GoogleAppleのパスキー共有サービスを相互にミラーリング的に同期していれば片方のパスキーがバグやミスなどにより誤って削除されるともう片方も削除されバックアップとして機能しないどころか逆に被害確率が2倍に増加する。削除を同期する仕様になるかはわからないが手動で削除管理は不便すぎ三者以上ではほぼ確実に破綻するので遅かれ早かれやらざるをえないだろう。さらに認証がパスキーに独占されれば有料共有サービスは値上げが予想され強欲なプラットフォーマーが自動ミラーリングを有料化しないと期待するのも楽観的すぎる。ミラーリング、特に自動ミラーリングを行う場合複数の共有サービスでE2E暗号化を横断的に維持する煩雑さからE2E暗号を解除させたりパスワードを共通化させる危険な仕様になる可能性もある。使用する共有サービス数に比例して流出リスクも増えることは言うまでもない。このようにパスキーの仕様変更は卑近的には優れているように見えても実際には安全性を大きくまたは著しく低下させユーザーを支配または収益化する変更しかしていないパスキーと付き合うのは詐欺師と付き合うのと同じで余計な負担が増えるばかりである共有パスキーはマネージャ必須であり有料マネージャ使用者も相当数いることからパスキー以外の認証方式が排除されパスキー使用者が増えることで課金率が低くとも全体として認証の有料化が進み認証ビジネスの市場規模が拡大するのは確実である。そして鍵転送の仕様はGoogleAppleの無料マネージャに滞留した大量のユーザーに流動性を与えユーザーを有料マネージャへ送り込む。後述のように鍵転送の仕様策定者がすべてサードパーティの有料パスキー共有サービス業者でありコントリビューターも少数のGoogle以外すべてサードパーティの有料業者であることはこの仕様が有料業者に利益をもたらすことを有料業者がよく理解しており有料業者が認証の有料化を推進し利益を拡大するために仕様策定を行っている何よりの証拠であるこれらの事実からパスキーは無料の認証方式を禁止して基本無料実質有料の認証方式しか使えないようにするために開発と工作を行っているとしか言いようがない。ローカルアプリでミラーリングして実質バックアップできれば複数の共有サービスと課金を不要にする選択肢になるがそもそも攻撃者がパスキーを不正取得する巨大な攻撃サーフェスを与えるこのような鍵転送APIミラーリングアプリ自体が脆弱性と余計なリスクの温床である。本来そんな危険なことするはずがないと思うところだがパスキーは安全性を著しく低下させて共有パスキーに切り替えあえてフィッシング耐性のないリカバリーコードを使わせたという特大の実績が2つもあるため常識が通用しない。こうした危険性を根本的になくし原理的に攻撃不可能にするのが当初のパスキーである非共有パスキーだったのだがこうも原理的に攻撃可能で不特定多数の共有サービスの脆弱性実装依存の攻撃サーフェスが増えてはフィッシング以外もはやパスキーの危険性はパスワードと大差なくなってきている。本来パスキーはサービスから認証情報が原理的に流出不可能になるようユーザーだけが秘密鍵を持ちサービスは公開鍵しか持たないようにする認証方式だったのに共有サービスに秘密鍵を持たせたうえ転送までさせる仕様に改悪して流出経路を大量生産しているのはもはや攻撃者と共謀してるのでもなければ説明がつかないほど狂った異常事態であるパスキーは共有サービス内の秘密鍵が流出したとき直ちに共有サービスから各サービスへアクセスし各サービスに代わってユーザーの公開鍵を無効化および更新しなければ被害を防げずこのようにパスキーの欠陥はユーザーのアカウントを侵襲することなしに修正できない。ただしこの場合でも共有サービスが操作できるのは当該共有サービスの管理するパスキーないしアカウントだけでサービスが強制リセットしたいすべてのパスキーをサービスの意思で強制リセットすることはできないためインフォスティーラーや連鎖的流出などにより複数の共有サービスのパスキーが同時に侵害された場合は単独の共有サービスでは対処できず非共有パスキーが侵害された場合は対処しようがない。パスキーを導入したサービスは強制リセットにより侵害に自身で対処し被害を最小化する権利を失いながら被害の責任だけ負わされるのである。パスキーをどれほど執拗に脅迫的に押し売りされた結果被害が生じようとパスキーは法的に免責されており騙されて欠陥技術を使わされた損害をパスキーが賠償することはない。秘密鍵がE2E暗号化されていようとこの強制リセットが必要なのはパスワードのハッシュが流出した場合と同様当然である。また大規模な共有サービスから秘密鍵が流出した場合他の共有サービスを含め全世界のすべてのサービスに致命的な侵害リスクが生じるため全世界のすべてのサービスがすべてのアカウントのパスキーを強制リセットする必要があり影響範囲が大きすぎリスクが集中しすぎておりパスキーは理論上最大のリスク集中と最大の被害規模を実現している。こうやってパスキーの欠陥を書き連ねるのもあまりに欠陥が多すぎてうんざりする。ここに書いた欠陥でさえ欠陥を漏れなく書ききれず各項の主な要点を示したに留まるものである。パスキーに欠陥が尽きないのはパスキーの筋が悪く根本的に設計が悪いからであることは議論の余地がない。マジックリンクのなんとシンプルで完成されていることだろう。パスキーを使うなら当初の最も単純で負担の少ない非共有パスキーに限る。パスキーはただでさえ流出した場合の危険性が大きいにもかかわらずマルチデバイス共有、マルチアカウント共有、鍵転送など流出する経路と確率もリスク補償的に年々増大する一方でありパスキーの安全性は共有に起因してユーザーの秘密鍵が流出すれば終わりであるパスキーはデバイス固定や有効期限や強制リセットなどの原理的安全性を失ったためパスキーへの移行により表面的および水際対策的な脆弱性が減少した以上に水際対策突破後の危険性が増加し残りの脆弱性や攻撃ベクトルに危険性が集中しておりこの集中的危険性を共有サービスによる集中的運用とマネージャで守っているだけである。すなわちパスキーは強制リセット不可能化により極大化した危険性を共有サービスの運用とマネージャで失敗の許されない水際防御をしている非常に危険な状態にありパスキーは侵害の難易度が高くとも侵害時の危険性が既存認証方式より大きいにもかかわらず攻撃価値と攻撃を集中させる危険な運用とその危険性を増大させる年々の仕様変更により将来的にパスキーの水際対策的安全性が突破され既存認証方式より大きい危険性が顕在化することが確実であるGoogleなどのプラットフォーマーならまだしも技術的にも財政的にも不安定なサードパーティの共有サービスの長期的安全性は業界大手のLastPassの度重なる重大侵害事例からも極めて疑わしい。さらに共有サービスやパスキーマネージャのうち一つでも侵害されるとその中に含まれるパスキーにより他の共有サービスも連鎖的に侵害され被害規模が破滅的に拡大する可能性が高いここでもセキュリティは最も弱い部分が攻撃され最も弱い部分で評価されるという大原則が現れるスキーマネージャから秘密鍵の暗号化データが漏洩した可能性がある場合もパスキーには有効期限がないため将来的に解読され不正使用される可能性が永遠に残り一括して多数漏洩するためパスワードのハッシュが流出した場合と同様にすべてのパスキーを再設定しなければならなくなるがマジックリンクならば侵害なく有効期限が経過した時点で無害が確定し再設定不要でありたいていOTPであるため自分でマジックリンクを使用することで直ちに無効化することもできる。このマジックリンクの特性は組織的運用においても非常に優れており各個人のパスキーが増えすぎて管理コストとリスクが高くなった場合に一部の認証方式をマジックリンクに変更することでパスキーとリスクを減らすことができる。パスキーは使用量に比例してコストとリスクが増加し、認証方式の使用量に応じたリスクの増加率をリスクオーダー、漏洩した認証情報を更新するコストなどの管理コストの増加率をコストオーダーとして表すことができ表記をO(Risk, Cost)とするとパスキーはO(n, n)、マジックリンクはO(1, 1)と表記できる。O(Risk * Cost)でO(n)とO(1)とも書ける。これはパスキーは一体的に運用されるため漏洩するときは全部が同時に漏洩するがマジックリンクは個別に運用されるため個別にしか漏洩しないということである。パスキーは卵を一つの籠に盛るなという偉大な教訓を全ユーザーに破らせておりこれから大量のユーザーを犠牲にして周知の原則を無駄に再発明していくことになる。特定のデバイスでしか使用できない場合でさえデバイスごと漏洩するリスクがあるように原則としてサービス側であれユーザー側であれ認証情報を常時保持する必要などなく保持しないのが最も安全なのは当然である常時保持する認証情報が有効ということは認証情報に有効期限がないか非常に長いことを意味し流出や漏洩などに脆弱だからでありパスキー以外の主要認証方式は認証後にユーザー側に認証情報を残さずセッションのみになるのにパスキーだけは認証情報を残し脆弱性を作るのである。サービス側もパスワードとパスキーは認証情報を永続的に残すがマジックリンクはOTPのハッシュを短時間しか残さないためやはりマジックリンクが最も安全である。一般的に有効期限を長くすべきなのはこれにより認証頻度と漏洩機会を減らせるセッションIDくらいでありセッションIDは設定上の有効期限が長くとも頻繁にセッションIDを更新し古いセッションIDを無効化することで、漏洩したセッションIDの実際の有効期限を短くし闇市場経由などタイムラグの大きい不正使用を不可能にできる。よってこのようにセッションが適切に実装されたサービスではログイン中のサービスはすべてセッションIDが更新されるようタブを開いてアクティブにしておくのが最も安全である闇市場で販売される認証情報にはクッキーも含まれるがクッキーが漏洩したためにセッションハイジャックされる危険性はサービスがセッションIDを頻繁に更新し無効化しているか長期間同じセッションIDを使っているかにより雲泥の差がある。高頻度の追加認証や再認証はセッションを適切に実装した上でやるべきことである。なおセッションクッキーの送信者を制限する新機能が現在開発中であり実現と普及が待ち遠しいところである)。すなわちパスキーは再認証用であり基本認証用ではない(デバイスで最初の認証を済ませた後にしか使えないという字義通りの意味で。ではパスキーを作った連中はどうしてるかというとドングルよろしくシステム管理部門がパスキーを直接または遠隔的に設定して渡しパスキーをなくしても再設定してくれる。一般消費者には不可能な貴族的待遇である。より簡便な方法が提供される場合もあるが代償に安全性を大きく低下させることで行われているに過ぎず推奨できる方法ではない)。本当に認証方式をパスキーのみに制限すれば新しい端末から新たにログインすることすらできずパスキーの認証設計は最初から理論的に破綻した実現不可能なものなのである(ゆえにパスキーはリカバリーコードやQRコードのような脆弱で適用範囲が狭く既存領域を周延できない不完全で危険な他の認証方式に頼らざるを得ず安全性を低下させるのである。当然ながらQRコードはカメラ付き端末を所持していなければ使用できず軽量で筐体が物理的に干渉しない小型携帯端末でなければ使用困難であり削除できない脆弱なアプリやウイルスがプリインストールされている可能性が高く陳腐化しやすくリスク要因になりやすいスマホを介在させず分離しておきたい場合は使用できない。PCでログインするにも安全で高価なカメラ付き小型携帯端末を所持し高価な当該端末を頻繁に買い替えて安全性を保つことを課す認証方式が既存認証方式を置き換えられるものでないことは当然である消費者としては高価なスマホを頻繁に買い替えさせて儲けるためにパスキーを強制してるのではないかと圧力をかけるのが正しい対応である。またQRコードはそれが何の認証や承認なのかわからないという脆弱性がありQRコードの意味するところや本物であるかの確実な判断が不可能である。すなわちQRコードにはQRコード用のフィッシングがありQRコードはフィッシングに脆弱である)。結局パスキーは歴史的に何度も要件と安全性の緩和を繰り返しておりパスキーは一般消費者と組織構成員の両方に対応する万能の認証方式を作ろうとしてどちらとしても中途半端でどちらの要件も満たさない失敗作になったのである。安易に銀の弾丸を作ろうとした愚者の末路である。

Credential Exchange Protocol
https://fidoalliance.org/specs/cx/cxp-v1.0-wd-20241003.html

Editor:
Nick Steele (1Password)

Contributors:
Rew Islam (Dashlane)
Anders Åberg (Bitwarden)
René Léveillé (1Password)
Oscar Hinton (Bitwarden)
Jonathan Salamon (Dashlane)
Ayman Bedair (NordPass)
Lee Campbell (Google)
Reema Bajwa (Google)

Credential Exchange Format
https://fidoalliance.org/specs/cx/cxf-v1.0-rd-20250313.html

Editors:
René Léveillé (1Password)
Rew Islam (Dashlane)
Oscar Hinton (Bitwarden)
Max Crone (1Password)

Contributors:
Nick Steele (1Password)
Anders Åberg (Bitwarden)
Jonathan Salamon (Dashlane)
Ayman Bedair (NordPass)
Lee Campbell (Google)
Reema Bajwa (Google)
Hans Reichenbach (Okta)
Stephan Drab (Google)
Luc Fauvel (Devolutions)
Priya Tirounarayanane (Dashlane)
用途 PC スマホ
強制リセット マジックリンク マジックリンク
リセット(セルフリカバリー) マジックリンク マジックリンク
初回認証 マジックリンク マジックリンク
基本認証 マジックリンク パスキー(生体認証)
追加認証/再認証 パスキー(セキュリティキー/生体認証) パスキー(生体認証)

パスキーは限定的に使うなら使いようはある。ただし前述の通りパスキーの強制自動登録によりパスキーの動作と危険性は今やウイルスやスパイウェアに等しいものに悪質化しており予備知識なしに制御も対策も不能で注意喚起と対策と駆除が必要な水準にあるためこの問題が是正されることが前提条件である。知識要素以外のパスキーは認証操作が高速軽快でユーザーの負担が小さいため24時間以下の間隔の頻繁な追加認証(重要操作のみ制限)および再認証(すべての操作を制限。画面遷移のない再ログイン。追加認証同様ログイン中であることが必要)に適しておりメールサービスは基本認証にパスワードをサポートしつつセキュリティキーまたは生体認証パスキーによる追加認証または再認証を頻繁に行わせることで安全性を強化することを可能にすべきである(追加認証用に設定されたパスキーによる再認証を24時間以下の間隔で要求することで実質的に24時間以下の時間経過により自動ログアウトさせるのが最も安全である。前述のように基本認証にパスキーを設定すると脆弱になるため再認証用のパスキーは基本認証できないよう追加認証に設定すべきである。追加認証のリセットは基本認証による再認証による。ただし生体認証は違法捜査に極めて脆弱であるためパスワードやPINなど認証情報を開示しない権利を法的に保護および保障されかつその実効性の高い十分な強度の知識要素のみの認証方式を特にPCやスマホなどのデバイスレベルの認証において法的権利保護および人権保障のためにサポートする必要がある。そしてデバイスの認証を保護する目的となる各種オンラインサービスへの認証情報や機微な会話記録なども保護されなければならないためデバイスの認証を迂回してサービスに直接認証することで保護が無効化され権利が侵害されることも防がなくてはならない。従ってスキーマネージャなどの認証情報共有サービスおよびツールと同様にこれらに準ずるおよびこれらを保護する役割を担うものであるメールサービスもまたデバイスと同じくパスワード等の十分な強度の知識要素のみの認証方式による法的保護をサポートし人権を保障する必要がある。なおパスキーはデバイスの押収や破壊により所持要素を喪失させサーバー上の証拠と連絡手段を抹消できるためパスワードの代わりにならない。このためパスキーは秘密を守る能力がある場合でさえ証拠を守る能力はなく最低限の違法捜査耐性はあっても抑圧的環境下で正当な活動を保護する能力が欠如しているパスワードの廃止は抑圧的環境下での調査報道や内部告発などの人道的および民主的活動を著しく困難にし民主主義の機能を奪い反民主化させるのである。このようにパスワードは特殊な用途でしか十分に肯定されないがその特殊な用途が民主主義社会全体にとって死活的に重要なのである)。金融サービスなど他の重要なサービスでも同様に認証を高頻度化し安全性を強化可能である。ただしユーザーが自宅以外でセキュリティキーを挿しっぱなしにするほど頻繁に追加認証を要求するべきではないため認証回数は基本的に1日1回以下にすべきである。またこのような厳格な安全管理に納得を得られる高リスクのサービス以外でこのような厳格な安全管理を強制してはならない(ブログやニュースサイトに毎日再認証を要求され認知資源を浪費させられるのは不快であり重要なサービスの安全性を毀損する)。なおPCでのパスキー対応生体認証器が実用的になればセキュリティキーは生体認証に置き換えるべきであり挿しっぱなしにできるので認証頻度も高頻度化できる(要するにセキュリティキーや生体認証器などの認証器には認証器のリモート認証部分を共通化し安全かつ統一的に運用する共通規格が必要でありその範囲でパスキーは有用であるがパスキーはその範囲を逸脱して共通部分のリモート認証単体で直接認証可能な認証方式に脆弱化しさらにリモート認証を他のデバイスと共有可能にしたためにパスキーは大量の脆弱性の温床となったのである。パスキーが認証器なしで動作することはマネージャから自動またはワンクリックでログインできることから明らかである。生体認証から生体認証器を剥ぎ取って直接認証操作する明らかに危険な認証方式がマネージャを使用するパスキーなのでありパスキーは車の鍵を壊してエンジンを直接起動するような危険な方法を普及させず裏方に徹しなければならなかったパスキーは自身の役割を履き違えており自身の規定の仕方を間違えているから設計と仕様もまた根本的に間違えた欠陥認証方式になっているのである。すなわち安全な認証方式とは安全で使いやすい認証器かマジックリンクおよびその組み合わせである。安全なパスキーはざっくり言えば認証器のリモート認証方式を規定する通信規格のようなものであり認証器なしで認証できてはならず上位規格が現れれば容易に移行できなければならない。この正しい観点から見ればパスキーはデバイス間共有よりも同一のデバイスにおける認証器間共有を仕様化し実装すべきであった。前述の壊れやすいマスターキーの問題はこれで解決される)。金融サービスで数分操作しなかっただけで次回の重要な操作時に追加認証を再度要求されても指紋認証や顔認証なら負担が軽くむしろ安心感と満足感のほうが大きいだろう。顔認証なら追加認証と再認証の完全自動化も可能だろう(同様にメーラーをいかに保護すればいいかという問題もブラウザでもアプリでも高頻度再認証によりほぼ解決される。ただしそのリセットはリセット用メールアカウントが別途必要である。リセット用メールアカウントは自宅などに設置した安全なPCでログイン状態にしておくか使用時以外ログアウトしておくべきである。高頻度認証は本来的にはデバイスでできるべきだがユーザーが高頻度認証可能なデバイスを使用していることを保証できないため各サービスごとに対応せざるを得ないのが現状である。高頻度自動再認証が実現されればこれまで十分な対策が困難だったログイン状態のデバイスを物理的に盗難する侵害方法に対しても高い安全が確保され脅迫を伴う場合を除くすべての一般的な侵害方法に対する十分なセキュリティが実現可能になる再認証がローカル認証で完結すればサービスに負荷は一切かからずこの高頻度自動ローカル再認証がパスキーの完成形である(デバイスレベルで実施されればサービスやアプリレベルで実施する必要はない)。これはパスキーと独立したローカル認証機構でありパスキーの仕様を変更せず実現することもできる。なおここで使われるべきパスキーは当然非共有の生体認証パスキーでありここまで説明した通りマジックリンクの代わりに共有パスキーを使っても無駄に危険になるだけである。常識的に考えて秘密鍵を共有して秘密鍵だけで認証できるようにセキュリティを緩和する共有パスキーへの仕様変更は極端かつ危険すぎる共有パスキーは多要素認証でなぜ単一の要素では不足で複数の要素を要求されたのかという教訓と反省が欠落し消失しており設計思想も安全性も多要素認証前の時代に退化している必要なパスキーは非共有パスキーだけであり共有パスキーは存在自体がパスキーの深刻な脆弱性となってパスキーという規格全体の安全性と信頼性を著しく低下させており生まれてくるべきではなかった。ちなみにパスキーを非共有を基本状態とし異なるデバイスで初回認証する場合にサービス上での操作により一時的にのみデバイス固定を解除して共有し認証後非共有に戻すことでパスキーの共有を概ね安全化する方法も考えられるがここで不正取得した認証情報を不正使用する難易度は本質的にデバイス固定解除を不正操作する難易度であり共有の安全性がパスキーと無関係で安全性が低いため意味がない。クリックジャッキングなどの不正操作の難易度を上げると素朴にマジックリンクで初回認証するほうが簡単になりマジックリンクより簡単にしようとすると仕様も実装もやたら複雑で脆弱になる。共有サービスに各サービス内の認証情報管理まで許可し依存するのも危険すぎる。共有範囲を他人など自身の管理アカウント外へ拡大できるとその操作が攻撃の標的となるためパスキーの共有可能範囲を管理アカウント内に制限およびバックアップ不可にしてマジックリンクでいつでもリセットできるようにするあたりが簡単で安全な共有が可能な限度であり管理アカウント外への共有にはその危険性相応に安全で不便な手続きが必要である。何でも簡単であるほどよいというものではない)。基本認証はデバイスレベルの生体認証の普及に伴いこれと共通化可能であるが初回認証とリセット方式は置き換えられない。なお複数のメールアドレスを相互にリセットメールの宛先に設定することで認証を冗長化できるが全メールアカウントの認証状態を故障や災害等により同時に失う可能性があるためパスワードの記憶または記録は必須であることや予備のメールアカウントへの侵害が他のアカウントへの侵害に拡大しないよう他のアカウントにつながる不要なメールや設定などの情報はすべて削除すべきことに注意しなければならない(このためリセットメールの宛先に設定されたメールアドレスは追加認証なしに見れないべきであり転送設定の宛先も同様である。受信メールの読後一定期間経過による自動削除も有効)。

以上のようにパスキーには隠蔽ないし矮小化された枚挙に暇のない多数の致命的および破滅的欠陥と脆弱性があることからパスキーの有効性は限定的でかえって脆弱かつ危険になることが多くパスキーは一部の用途で限定的に有用であるに留まるのであるから大人しく身の程をわきまえてパスワードやマジックリンクと共存してればいいものを共存を拒絶し認証設計をパスキーとリカバリーコードに一元化しようとしているからパスキーは有害なのである。パスキーが詰んでもマジックリンクと共存していればマジックリンクで認証でき詰まずに済んだにもかかわらず不必要に他の認証方式との共存を拒絶し他の認証方式を排除するパスキーとその開発者や推進者などのパスキー業者の有害性のせいでパスキーの被害者を大量に生み出すパスキー災害という人災が引き起こされているのである

次の文書はサービスにパスキーを導入させ破滅的欠陥により事業破綻させるパスキー公式文書であるそしてメルカリとドコモが書いたパスキー公式文書でありメリカリとドコモとパスキーが有害である理由と故意に有害にされている証拠である

fidoalliance.org

Editors:
Tatsuya Karino, Mercari, inc. 

Acknowledgments
● Max Hata, NTT Docomo

This paper does not categorize other methods, such as email-based magic
links, as either phishable or phishing-resistant.

本稿ではEメールベースのマジックリンクのような他の方法を
フィッシング可能かフィッシング耐性があるかには分類していない
Several industry-wide factors are expected to serve as enablers in resolving
the challenges of a passkey-only strategy.

業界全体にわたるいくつかの要因がパスキーオンリー戦略の課題を解決する推進役として期待
されている。

Increases in passkey adoption across RPs: As passkey adoption grows and
more RPs implement passkey-only strategy, users will become increasingly
familiar with this authentication method. While login challenges may occur when
passkeys are unavailable, users will naturally learn to navigate recovery
procedures and prevent such situations. Alongside user adaptation, broader
adoption across RPs will help establish and refine best practices for passkey
implementation.

RP全体でのパスキーの採用の増加: パスキーの普及が進みより多くのRPが
パスキーオンリー戦略を導入するようになるとユーザーはこの認証方法にますます慣れるようになる。
パスキーが使用できないときにログインに失敗することはあるがユーザーはリカバリー手順を
乗り越えそのような状況を防ぐことを自然に学ぶようになる利用者の適応と同時にRP全体に広範な導入が進むことでパスキー導入のベストプラクティスが
確立され洗練される
Conclusion
Preventing phishing attacks requires a strategic journey from traditional authentication
through multiple stages: beginning with introducing passkeys alongside existing 
methods (Optional Adoption stage), progressing to enforcing passkeys for specific users
or features (Partial Prevention stage), and ultimately achieving comprehensive phishing
resistance through exclusive use of passkeys or other phishing-resistant methods (Full
Prevention stage).

結論
フィッシング攻撃を防ぐには複数の段階を経て従来の認証から戦略的に移行する必要がある。
既存の手法と並行してパスキーを導入することから始まり(Optional Adoption段階)、特定のユーザーや
機能に対してパスキーを強制する(Partial Prevention段階)、最終的にはパスキーやその他の
フィッシング耐性のある方法を排他的に使用することで包括的なフィッシング耐性を達成する
(Full Prevention段階)。

パスキーとその推進者の有害性の原因は能力不足の分際で他の認証方式との共存を拒絶する排他性と傲慢さ以外の何物でもない今も続くパスキー災害という人災とその大量の被害者は排他的で傲慢なパスキー開発者と推進者が加害責任を負うものである銀の弾丸の警句の通り技術は万能でないのが当然であることからパスキーの問題は技術以前の問題でありパスキー開発者と推進者を断罪するには排他的で傲慢の一言で足りるユーザーを舐め腐った上記の公式文書にもパスキー開発者と推進者の排他性と傲慢さが如実に現れておりユーザーはパスキーのせいで痛い目にあってもまた痛い目にあいたくなければ自分で学習して俺達パスキーに適応しろというのが公式戦略であることが公式文書に明記されている(ユーザーを従わせるものとしか思ってないことがよくわかる。メルカリとドコモのユーザーがパスキーのせいでログインできなくなり金やポイントを失う被害にあっているのもパスキーとメルカリとドコモの公式戦略により故意に与えられた意図的な被害であるパスキーに比べれば他のどの認証方式の学習難易度も易しい。正確には公式戦略が利用する要因だがそれもパスキーが引き起こした要因であり公式戦略に取り込み利用する以上同じことである。そもそも公式戦略が利用する要因たるユーザーの苦境を日本で最も生み出している悪質企業と要因を利用するこの公式文書を書いている悪質企業が同じメルカリとドコモなのであるから自作自演のマッチポンプ以外の何物でもないパスキーとメルカリとドコモは陰謀論レベルの陰謀を実際に行って実現不可能な破綻したパスキーオンリーを強引に導入させているのでありそのせいで多大な被害が発生しているのである一方的にパスキーを強制し多くの被害者を生み出す問題が多発しているのもそれがパスキーの公式戦略なのだから当然である。そしてこの公式文書を書いたのがあのメルカリ(狩野達也)とドコモ(Max Hata)であることから明らかなようにメルカリとドコモが今なお引き起こし続けているパスキー災害はもはや説明するまでもなくパスキーが公式に故意に引き起こし公式に責任を負う意図的な人為的災害であるメルカリとドコモの場合パスキー以前のサービス自体の問題も多いがパスキーを免罪符にできることでリスク補償的に手抜きが増加しているだけでありパスキーの責任であることに変わりないパスキーの真のユーザーはサービスを運営するクライアントである企業や政府でありサービスのユーザーではない(パスキー開発者と推進者が無能すぎてその企業と政府も時限爆弾で爆破されるのであるが。無能は罪であるということをよく実証してくれている)。しかもパスキーに何度も痛い目にあわされながら苦労して適応したところでパスキー自体が破綻しているので何の落ち度もない善良なユーザーでも欠陥を踏むたびに永遠に理不尽に痛い目にあわされ続けるユーザーがパスキーを避ける直感は完全に正しかったのであるパスキー開発者と推進者のユーザーを舐め切った態度からしても当然である。さらにパスキーオンリーを強制されパスキーしか使えない被害の痛みが大きいほどパスキーという時限爆弾による破滅的欠陥を急速に完成させていることを意味するため被害と痛みが大きいほど無駄な被害と痛みであるユーザーが痛い目にあうのはすべてパスキーの能力不足と欠陥のせいでユーザーは何も悪くなく悪いのはパスキー開発者と推進者でユーザーに責任を押し付ける言説はすべてパスキーの欠陥を隠すためのパスキー開発者と推進者の詭弁に過ぎないためユーザーはパスキー開発者と推進者がどんな鳴き声で鳴こうと耳を貸さず痛い目にあわせてくれたお礼に痛い目にあわせるのが相応というものである何しろ痛い目にあわされたユーザーの訴えに最も耳を貸さず無理解だの期待しすぎだのと舐め切った責任転嫁をしてユーザーをさらに痛い目にあわせてきた加害者がパスキー開発者と推進者なのだからそれが当然の報いというものであり被害者からすればまったく正当なことであるパスキー開発者と推進者は痛い目にあわせなければ行動を変えず現状はそうでなければ行動を変えるターニングポイントをとうの昔に通り過ぎているパスキー開発者と推進者がどんな鳴き声で鳴こうと排他的パスキーを最終目標として推進し続ける腐った犯罪的本性は一切変わっておらず論点や目先の表現を変えて騙そうとしてるだけであり邪悪な魔物が人間を騙すために人間の言葉を使っているだけであるパスキー開発者や推進者が他の認証方式に許容姿勢を見せたとしてもどこかの国の停戦合意のように一時的な欺瞞工作に過ぎず最終目標が他の認証方式を排除しパスキーオンリーを完成することであると公式に規定している事実は一神教徒が審判の日に救済されるとするがごとく一切変わっていない攻め手を緩めていいのはすべての要求が達成された後だけでありその前に一瞬でも手を緩めるのは騙されて時間稼ぎや風化させられているだけである。そしてパスキーが他の認証方式を排除し続ける限りユーザーはパスキーから危害を受け続けるパスキー開発者と推進者にとってユーザーなど無駄な仕事で地位と収入を得てパスキーを強制的に成功させキャリアを飾るための生贄に過ぎずパスキーは関係者が利益を得るための詐欺スキームおよび詐欺ビジネスとして運用されているのが実態である。これも今の時代では何も珍しいことではなく過剰な成果主義により学術研究と技術界隈に蔓延した山ほどある粉飾捏造誇大広告の一つだろう)。すなわちパスキー災害がパスキーの公式団体により故意に引き起こされており公式団体に加害責任があることを証明する公式文書である。これがパスキーの正体である。

これらの事実に対してユーザーはどうすればいいかについてはパスキーしか使えずマジックリンクを使えないサービスはユーザーとサービスどちらにとっても危険で百害あって一利もないという事実を周知し、パスキーしか使えずマジックリンクを使えないサービスは危険だからやめろというユーザーの共通認識を固めて総意とし、沈黙を肯定とさせないよう反パスキーオンリーを明記せずパスキーを推進する一挙一動すべてに非難を集めることで総意を表明し圧力とするべきだろうパスキーの強制自動登録は極めて危険であるため直ちにやめさせなければならない認証の実質有料化を阻止する上でも無料の優れた認証方式であるマジックリンクを使用可能にさせることは必須である。またパスキーはNIST(米国立標準技術研究所)のガイダンスの要件を満たしていることになっているがFIDOアライアンスという事実上のテロ組織が大量散布し必須化したパスキー爆弾が起爆されれば少なくとも一時的に経済が麻痺し安全保障上の危機となることは明らかでありパスキーがガイダンスの要件を満たさないよう速やかにガイダンスを更新するようNISTに圧力をかけるべきである(読む時間を取れていないがNISTのガイダンスは目次を見る限り個別の認証器や認証方式レベルの要件が主で認証構成には無頓着のようであり強制リセットの概念すらなく認証構成における強制リセットの要件化が必須である。まあ強制リセットの概念があれば要件化しないことはありえないだろう。NISTの知的水準がこれほど低いことは驚異的に脅威的でありNISTが絶望的に馬鹿なのか認証と認証情報を米国支配下に置くためにあえて馬鹿のふりをしてるのか定かではないが米欧が政府専用バックドアを設置する絶望的に愚かな活動を長年続けている周知の事実から意図的に見過ごしていても何ら不思議ではない。NISTの欠陥の修正が米国の利害により阻止される可能性を考慮すればパスキー爆弾の問題は米国より欧州に持ち込んで問題化することに比重を置くほうが有望だろう)。パスキーの使い方としては基本的に前表の通りでありマジックリンクによるリセット手段が確保されていれば他はすべて非共有ならパスキーでもよいがPCの基本認証ではパスキーの利便性の利益が少ないためマジックリンクのままでよい。ただしその利便性も非共有パスキーはデバイスを買い換えるたびにパスキーを再設定する非常な不便を強制され将来的解読への対策のためにも更新必須となる。そもそも認証方式の数が増えるほど脆弱性と攻撃ベクトルの数が増えて危険になるためマジックリンクが最も安全かつ不可欠である以上パスキーがどれだけ安全でもパスキーを設定せず認証方式の数を減らしたほうが安全である。共有パスキーはパスキーを容易にリセットできるなら不要であり共有パスキーとその危険性を完全排除できる。パスキーを非共有で使用する場合もマネージャを介するならばデフォルト設定や誤操作などにより意に反してパスキーが同期され流出したり共有サービス上のパスキーを削除しようとしてローカルのものも含めてパスキーを完全削除してしまいアカウントを喪失する危険性が少なくないことに注意を要する。またデバイスで事実上パスキーマネージャ必須でも同期させない設定が現時点では可能なようであるが共有パスキーへの移行が公式戦略である以上将来的に特にAndroidiOSでは強制的に同期され危険な共有パスキーしか使えなくなる危険性が高くChromeSafariも強制同期され共有パスキーしか使えなくなる危険性が少なくない。従ってやはり共有パスキーは流出の可能性を制御できない危険性が高すぎるため共有サービス内で別のアカウントにパスキーが流出しても不正使用できないよう使用可能なユーザーを制限できる安全な仕様に修正できない限り少なくとも共有パスキーの危険性を十分制御できるよう共有機能をデフォルトで無効化させ、誤って有効化および共有しないよう操作手順を厳格化させなければならないユーザーが危険性を十分に制御できる権利と手段が与えられないならばユーザーは自身に実質的に瑕疵も責任もなくとも制御不能な危険性ひいてはその状況を作ったサービスとパスキーの責任により被害者となることを避けられないため危険性の制御可能性の保証と危機管理の権利の保障は譲る余地のない絶対条件である現在のパスキーにそれほど忌避感がなくともパスキーがさらに改悪され流出への対処を理由に共有サービスが勝手にユーザーのアカウントを侵襲的に操作するようになれば嫌悪感と忌避感が湧き本稿を思い出すだろう(しかもここまでしても必要な操作を半分も充足しておらず他にもサービスから共有サービスの秘密鍵を強制リセットする逆方向の操作も安全に実装し安全に運用する必要がある。これらはそれぞれ異なる状況への対処に必要であるため片方でなく両方共必要である。このように共有パスキーを強制リセット可能にする仕様変更はサービスと共有サービスの連携が必要であるためユーザーが利用可能な共有サービスがサービスが連携中の一部の共有サービスだけに制限されるか連携してない共有サービスのユーザーが強制リセット不可能になるかのいずれかの問題が不可避となる。そしてこれらの機能を完全に実装しても流出した非共有パスキーの秘密鍵の強制リセットは秘密鍵を保持するデバイスへの接続を保証できないため不可能である。またパスキー共有機能の追加を始めとするこのようなパスキーの欠陥に対する機能追加による修正は欠陥を機能追加により増加する脆弱性と攻撃サーフェスに置き換えているに過ぎないためパスキーの全体的脆弱性は欠陥の減少に反比例して増加および悪化する可能性が高くそもそも欠陥の修正方法が機能追加であること自体が設計の失敗の証明でありその繰り返しは失敗した設計を正しく実装しようとする無駄な努力により問題を複雑化させ管理不能に陥り放棄するしかなくなるアンチパターンの典型である。まあ多くのユーザーが自身の管理能力を超えるパスキーを強制的に押し付けられ管理不能な状況に強制的に追い込まれてログイン不能になっているようにユーザーの運用面ではすでにパスキーは管理不能で破綻している。こうしてパスキーの欠陥の修正に毎回機能追加が必要となる事実はパスキーの設計の前時代性と現代の要件との設計の不整合を証明しておりパスキーは遠からず機能追加による事後対応と増改築の限界を迎え破綻する。実際にはもうすでに破綻しているのが決壊するだけである)。実際パスキーオンリーの世界でのパスキーの支配的完全性などユーザーは必要としておらずマジックリンクを加えるだけで解決することでありパスキーの完全性を追求したところでその複雑性、侵襲性、依存性などから飛躍的に危険性が増大し著しく安全性が低下するだけであるため認証を安全化するという本来の目的は達成されないこれまでパスキーが完全性のために秘密鍵の共有や転送などの極めて危険な改悪を繰り返してきた事実から明らかなようにパスキーの完全性と安全性は反比例する逆相関関係にあり両立不可能なのである。パスキーは完全性を上げれば安全性が下がり安全性を上げれば完全性が下がる。パスキーは完全性と安全性を取捨選択して配分を選ぶことしかできず両方は選べない。完全性も安全性も高いパスキーというものは完全性の低い初期の非共有パスキーの高い安全性と安全性の低い最新の共有パスキーの高い完全性を混同させ合成し錯覚させることで捏造した実在しない虚構のパスキーにおいてしか存在しないパスキーの安全性が高いというイメージは初期のパスキーのイメージに騙されているだけで現在のパスキーは完全性の向上の代償に初期のパスキーの安全性の大半を失い危険化している現在パスキーオンリーの認証が推進されているのは、実現可能かわからないけど実現可能と触れ込んで資金を騙し取り詐欺が発覚する前に実現できる可能性に賭ける定番の米国式投資詐欺に過ぎないパスキー公式に言われるままパスキーオンリーを実現しようとしているサービスもユーザーもみな投資詐欺にかかっているのであるここまで説明したようにパスキーは実現可能性のない投資詐欺であるためその投資は無駄に終わる。このようにパスキーは比喩でなく実際に既存の詐欺の類型に合致する詐欺そのものである。パスキーを適切に利用するということはせいぜいネズミ講を収益でなく物品購入目的で利用するのと同じ程度のことに過ぎない(パスキーに将来価値などなく便益以上の将来利益のために現在労苦に耐えても報われることはない。そしてその便益さえも容易に破滅的損害に転じる危険性が高い。今ここで証明されたようにパスキーは膨大な欠陥により破綻した上に何重にもリスク集中を重ね続けている火薬満載の泥舟であり導入した翌年には攻撃を受けて破滅的欠陥が全世界に実証され爆沈してもおかしくない。パスキーを使用するすべてのサービスはパスキーに流出などの兆候があればパスワードリセット同様直ちにパスキーリセットを実行できるよう準備を整える必要がある。パスキーリセットの実装もすべてのサービスで必須にもかかわらずパスキー公式が触れてもいない最重要事項でありどこまでも罪深い)。

認証する瞬間だけのアルゴリズム的刹那的安全性など認証全体の体系的安全性と認証方式を改廃するまでの長期的安全性における破滅的欠陥の前では何の価値もないパスキーはまさに安全性の論理的証明が容易なアルゴリズム的安全性しか具備せず微視的で近視眼的な刹那的安全性にばかり注力し巨視的な体系的安全性と長期的安全性において無能無為無策ゆえに安易な設計に膨大な欠陥を抱える破滅的欠陥認証方式となったのであるプラットフォーマーから秘密鍵が流出する可能性を実感できずともサードパーティやそのツールから秘密鍵が流出または漏洩する可能性は過去の事例から肌感覚で実感できる深刻な現実的問題であり秘密鍵が流出または漏洩した瞬間パスキーは流出した秘密鍵をサービス側から強制リセットできず破綻する。実際にはパスキーはその破滅的欠陥による安全保障上の危険性から国家レベルの攻撃者にとっても非常に魅力的な標的であるため国家レベルの攻撃者からユーザーの認証情報として史上最大の攻撃を受けることになる。流出に限らず漏洩や解読など他の理由で秘密鍵を不正取得された場合も同様に強制リセットの問題が生じること、秘密鍵は暗号化されていても秘密鍵が流出したというだけでリセットが必須であること、リカバリーコードが機能しないことはすでに説明した通りである。そもそも強制リセットが可能ならパスキーを紛失してログイン不能になるユーザーなど存在しない。ユーザーがパスキーを紛失してもサービスが強制リセットしてやればいいだけだからでありそれが不可能だからユーザーがログイン不能になるのである。パスキーオンリーへの過渡期の現在サポートへの問い合わせにたどり着いた一部のユーザーだけが高コストな有人対応により特別に裏口的に手動でパスキーを解除してもらうことができ実質的に有人対応がパスキーの真のリカバリー方式と化しておりさらにパスキー解除後もパスワード等の危険な認証方法に戻ってログインする必要がある事実はパスキーオンリーへの過渡がそもそも不可能である事実を証明している有人対応による高コストなリカバリーが一般化不可能な非標準的リカバリー方式であることも結局パスワード認証が必要で廃止できないのでは意味がないことも言うまでもなく公式文書でも非現実的として否定されている。ここでもパスキーの原理的不完全性により認証設計が破綻し欠陥と脆弱性があらわになっている。有人対応の非現実性は組織内では存在した強制リセット手段の組織外での喪失を意味しここでもリカバリーコードと同様にスケールの違いとスケーラビリティの不足により従来の認証方式の適用が不可能となっているパスキーは組織内に潜在した強制リセット能力を取りこぼして組織外に一般化したために根源的破滅的欠陥が生じているのであるパスキーの過渡の先にあるのは破綻したパスキーオンリーの破滅的欠陥による破滅だけでありパスキーにできるのは過渡を中止し引き返すことだけであるパスキーは絶対に流出も漏洩もせず解読もされないという荒唐無稽で極めて危険なゼロリスク信仰にすべての安全性を依存させておりこの実現不可能であることが自明な前提が崩れた瞬間打つ手がなくなり破綻するパスキーは絶対に流出も漏洩も解読もされないという達成不可能な目標を達成済みの前提にして未実現の安全性を実現したと嘘の宣伝しているのであり詐欺以外の何物でもない(量子暗号が実用化されてもアルゴリズムレベルの微視的安全性に過ぎず認証情報をリセットできなくていい日は永遠に来ない)。マジックリンクは排除できないという現実ごとマジックリンクを排除したあとにはパスキーオンリーという実現不可能な妄想と虚構しか残らない公式文書から証明されたようにパスキーはパスキーオンリーという実現不可能で有害無益な営利目標のためにマジックリンクを排除した時点で破綻していたのでありパスキーの認証設計は公式推奨するリカバリー方式を含むかにかかわらず破綻しているすべてはパスキーオンリーが実体のない完全な投資詐欺だからである(パスキーは迷惑運転でもらい事故起こしすぎとも言えるそして「もらい事故起こすな」と言われると「パスキーに期待しすぎ」というセールストークに歪曲して言い換え責任転嫁するのである)。パスキー(FIDO)は明らかな組織的不正と罪が多すぎて同じ名前と人員で続けることが許される商売ではない(パスキーが営利性が高くさらにその規模を拡大する仕様を策定中であることはすでに前述した)。権力者への非難は闘争の基本、不義に対する闘争と権力への抵抗は消費者として当然のこと我々は決して奴隷にはならないそもそもリカバリーコードとかいう最弱認証方式必須のくせに気分だけ最強でパスキーオンリー超見切り発車して詐欺商売しているのであるから今までの罪全部背負って死ななければパスキー(FIDO)が前科者ですらない現役犯罪者であることは明らかでありパスキーが今後何をしても組織的詐欺を働き続けている現役詐欺集団が新手の詐欺を仕掛けているに過ぎないことは自明である。高頻度自動ローカル再認証もパスキーと本質的に無関係のローカル認証の改良でありリモート認証がパスキーである必要がなく結局パスキーは最大限安全なローカル認証を接続したらあとは安全性が高く完全性が低い初期のパスキーとして旧来の最小限の機能と範囲で使うほど安全であり新しい機能を広範に使うほど危険である(ただし自分のデバイスで安全なローカル認証を設定しても攻撃者にパスキーが共有、転送、流出、漏洩等されれば適用されず無意味)。

以上がパスキー仕様策定者よりパスキーを理解しているパスキー完全理解者が世界で初めてパスキーの破滅的欠陥その他諸々を明らかにしたパスキー解説である本稿の一部または全部の翻訳は原典(本稿)のURLを明記し全体の文意に従って翻訳および利用する限り訳者の責任において自由とする本稿が著者の意思以外により一時的でなく全文を読めなくなれば全文を転載を許可する本稿が生成AIには影を踏むことすら不可能な真の知的創造物であることは言うまでもない。ビッグテックが生成AIを使ってもリカバリーコードの危険性に気づかず導入しOpenAIがユーザーにリカバリーコードを強く推奨してセキュリティを著しく脆弱化させているように馬鹿はAIを使っても馬鹿のままである(リカバリーコードは流出の危険性の高さがパスワードと共通であるため同じく強制リセットの必要性も共通であり結局強制リセットのためにマジックリンクが必要となることはすでに説明した)。パスキーの破滅的欠陥を世界で初めて解明し詳細に解説した筆者ほど超絶天才でなくとも多少なりともまともな知能があればマジックリンクを使うだけで済むことだと容易にわかる。エリート教育を受けただけの凡人が自分が優れた人間だと勘違いするから安全な認証方式を作っているつもりで膨大な資金をドブに捨ててパスキーなどという破滅的な時限爆弾を無駄に作ってばらまいて全世界を危機に陥れることになるのである。スキルはアビリティではない。凡人はどれほど知識や技能や学歴があろうと凡人に過ぎない身の程をわきまえなければならない。パスキーの膨大な数の不正と欠陥と脆弱性により信用失墜したパスキー開発者と推進者に代わりこれらを世界で初めて解明した筆者がパスキーの世界最高権威となることは自明である

Enabling or disabling Multi-Factor Authentication (MFA)
https://help.openai.com/ja-jp/articles/7967234-enabling-or-disabling-multi-factor-authentication-mfa

Recovery codes
After enabling MFA, we strongly recommend that you save your recovery codes in a safe place
so that you can access your account in case you lose access to your authenticator app or are
unable to receive email verification codes.

その他の証拠。

togetter.com

以下主に日経や雑誌にもセキュリティ記事を掲載しパスキーを推進している社会的影響を与えている社会的責任ある認証セキュリティ有識者の発言であるが特にマジックリンクに対する発言で顕著なようにこれほど破滅的に間違った極めて有害な偽セキュリティ知識を流布してきた自称悪徳パスキー推進者が今後どの面下げて有識者面するのか見ものである。まあ今後は他称も悪徳パスキー推進者になるだろう。普通はもう二度とセキュリティで食っていけない偽情報流布と暴言の数々である欠陥パスキーの被害者となった数多のユーザーを侮辱し不要なパスキーオンリーで数多のサービスの収益に損害を与えた罪は重い悪徳パスキー推進者は全部残らず駆除して根を断たなければならない。下記の通りこの自称悪徳パスキー推進者は因果応報的なものをくれくれと言っているのでくれてやると喜ぶだろう

パスワードが悪いんじゃねぇんだよ!
この至高の認証方式を使いこなせない人間が悪いんだよ!

昨年末の記事が載るみたいです!

Software Design別冊
Webセキュリティコンパクトガイド

コメントにも反応いただいて、せっかくなので裏側にある「何が問題か」にも触れてもらいたいとお伝えしたところなんですが、消えてしまったようです。
こういうのは慣れてるので自分のことは何とでも...

> また、初学者の記事を燃やして消させたんですか?老害では?

いつものことですが「言いっぱなし」「ナルシスト」「間違いだけ指摘して悦に入っている自己満足」と言われてしまったのでコメントしました。

みなさん知らないと思いますが、

パスキー使えない問題

で検索すると何かが裏で動いてるのか?  ってなるんですよ。

俺もさっき見つけて気になってた。パスキーが普及すると困る何かが蠢いてるのかな、とか。

TPMにあるから端末から出ない、は情報が古い。パスキー時代ではパスワードマネージャーに管理させて同期やリカバリーによる実用性をとっている。

現状のマジックリンクはもはや認証方式として(もパスキーのリセットとしても)使えるレベルじゃねーんだよ!というのが私の主張です。
https://ritou.hatenablog.com/entry/2025/04/23/082153

システムがパスキーをサポートしても、ユーザーがパスキーを導入してくれなければ意味がありません。Passkey upgradesを使うことで、パスキーの導入を促進することができるようになります。

パスワードマネージャーによる管理がされている以上、秘密鍵情報の流出はあり得る。暗号化を絡めた保護や同期の方法はブラックボックスなのでマルウェアでどこまでできるのかは明言できないと思うが、シンプルにエクスポートさせて抜くのを含めて考慮は必要。

昨年末からのパスキー需要が少し落ち着いたので書きました。

Eメールマジックリンク方式は単体でのログインやパスキーのリセットには向いてない - r-weblife https://ritou.hatenablog.com/entry/2025/04/23/082153

⛷️シーズンがおちついて、パスキーの検索結果に呪詛が戻ってきた。リアルを感じろ。

本当に良い記事。
言いたいことをぐっとこらえて伝えるべきことに注力して絞っているのがわかるのも良い。
https://levtech.jp/media/article/interview/detail_632/
さすが @ritou 先生。

インタビュー記事書いてもらいました。

みんなパスキーに期待しすぎている。MIXI伊東氏に聞く「認証のゴール地点」の考え方 | レバテックラボ(レバテックLAB)

今のところ二つ来てますね。
質問の口調から私の日々の行いの因果応報みたいなのを感じますが、もっとくれくれ

と言いつつ、過去に引用リポストした三人ぐらいにはブロックされている。

パスキーをどこで管理するのが最善かはおいておいて、とにかくパスキーを登録して使っていく利用方法について書きました。

効率的な管理よりもまず使う!複数登録可能という特徴を活かしたパスキー利用法 - r-weblife

複数のパスキープロバイダにパスキーを作る

悪徳パスキー推進派の活動にリソースを使いすぎてしまった

パスキー記事への反応が確変みたいになってるので心に毛が生えてる人は思うところを書きましょう。

> ところで太字でない部分もコメントしてるのに太字で書いてるそもそも一般的なユーザーが多数のサービスの多数の復旧コードを適切に管理できるわけがないという部分にコメントがないのは非常に残念である。

ここは異論ないです。

> ユーザーが本当に求めていることはパスワード入力の手間とリスクを減らすこととこれを端末非依存にすることだけである。

そもそもユーザーが何かを求めているとでも?

> あるユーザーが唯一所持する端末A(または物理的セキュリティキー)にだけパスキーを保存しているとするとこれを破損や盗難などにより喪失すればユーザーは認証情報を失い永遠にログインできなくなる。

パスキーでも詰むって話。勘違いする人が多いが、詰まない認証方式など存在しない。

> 近年お題目に上がり鼻につくようになったパスワードの廃止や根絶は非現実的なイデオロギーと幻想でありIT業界のいつもの見慣れた誇大広告に過ぎない。

聞いてますか!FIDOアライアンスの皆様!

> 35年前のIT企業「PCはあまり普及しないと思うよ」
> 15年前のIT企業「スマホは普及しないと思うよ」

dユーザー「パスキー滅べ」

35年前に「ワープロはいずれ無くなるか」を大手メーカー各社に公開質問したときの回答がおもしろい→「NECと富士通が完全に言い当てている」 

パスキーのパトロール結果がはてなにやられてしまった。しばらくたてばまたdocomoへの悪態にもどるだろう。