パスキーとマジックリンクにおける認証情報侵害時の回復可能性は次のようにモデル化され回復可能か不可能かの絶対的格差がある。左はパスキー公式文書で図示されパスキー公式推奨のパスキーとリカバリーコードの認証構成、右はパスキーとマジックリンクの認証構成である。このモデルはパスキーとパスワードを入れ替えても同じであるため右はパスワードとマジックリンクの旧来の認証構成としても読める。またこの図は破棄を喪失に置き換えれば認証情報の紛失等に対するユーザーの認証情報喪失対応比較図として機能する。パスキーが導入され始めてからユーザーが異様にアカウントを喪失しやすくなったのもこの違いと変化が原因である。
1. 正常状態
すべてが正常に機能している。
2. 認証状態破棄後
認証情報が流出等により不正取得されたまたはその可能性がある場合認証情報を不正使用される前に破棄および再設定すなわち強制リセットしなければならない。これはパスワードの強制リセットとして散々繰り返されてきた標準的対応であり近年の大規模事例としてはニコ動がサイバー攻撃の被害に遭い全ユーザーのパスワードを強制リセットしたことが記憶に新しいだろう(https://blog.nicovideo.jp/niconews/225255.html)。メールアドレスは認証情報の送付先となる識別情報に過ぎないため認証情報ではなく破棄する必要も意味もないことは言うまでもない。パスキーとリカバリーコードの認証構成においてはリカバリーコードの認証情報を強制リセットすることは唯一のリカバリー手段という役割上そもそも許されず本来不可能でありパスキーの認証情報を強制リセットしなければならない場合ユーザーの何割がリカバリーコードを実際に所持しリカバリー可能かおよび認証情報が2つあれば安全なのか、3つあれば安全なのかという量的問題があるがこのようなパスキーのリカバリー可能性やユーザーに所持および管理させる認証情報数の多寡などの量的問題はパスキーの根本的質的問題の前では非本質的な解決する意味のない問題であり認証情報の侵害と喪失に対する安全性は単に全認証情報を破棄し再設定可能かという強制リセット可能性の有無の質的問題とその論理モデルに集約および還元される。サイバー攻撃を受けて認証設計の欠陥が原因で事業破綻する危険性がないかはこの論理モデルを確認するだけで判別できるのである。わざわざ自ら強制リセット不可能にして絶対的に危険にしておきながらその中でどれだけリカバリー可能性を上げたところで元の強制リセット可能な安全性の水準に戻ることは不可能であり絶対的危険性に加え無駄に複雑性と脆弱性を激増させ安全性を著しく悪化させることにしかならない。認証情報を1000個ユーザーに押し付けたとしても全認証情報破棄不可能なパスキーの破綻した安全性は全認証情報破棄可能なマジックリンクの堅牢な安全性の足元にも及ばない。2つ目の認証情報すらリカバリーコードという極めて危険な劣化パスワードしか用意できないのだからなおさらである。しかもリカバリーコードは現実にはほとんどのユーザーは未取得または紛失につき所持していないため最初から喪失状態にある。ユーザーのリカバリーコード所持率を上げればリカバリーコードに対するフィッシング攻撃が開始されることも前稿で説明した。全認証情報破棄不可能である欠陥を補おうとする努力それ自体が脆弱性と危険性を激増させることは言うまでもない。そしてユーザーがパスキーを紛失してログイン不能になることもサービスがユーザーと収益を失う損害を被ることもマジックリンクでログイン可能なら起こらなかった。パスキーが引き起こしたすべては無駄な損害である。
3. 認証情報再設定後
パスキーとリカバリーコードの認証構成ではすべての認証方式が認証情報にすべてを依存しているため全認証情報を破棄すると回復不可能となる。現実にはほとんどのユーザーはリカバリーコードを未取得または紛失につき所持しておらず回復不可能であるためパスキーの認証情報を破棄するだけでほとんどのユーザーが回復不可能になる。対してパスキーとマジックリンクの認証構成では全認証情報を破棄してもマジックリンクはメールでユーザーへ新しい認証情報を送付し認証情報を再設定して回復できこれは従来のパスワードとマジックリンクの認証構成でも同じである。従って従来のパスワードとマジックリンクの認証構成では認証情報侵害に対して全認証情報破棄および再設定により回復可能であったものがパスキーとリカバリーコードの認証構成では回復不可能へと可能から不可能へ絶対的に悪化している事実に反論の余地はない。サービスの認証方式をリカバリー方式を含めすべて認証情報に依存する方式だけで構成すると認証情報を侵害され破棄したときに認証を回復する手段をすべて失い回復不可能になるのである。破棄しなければ認証情報を不正使用されることは言うまでもない。繰り返すがこの原理的根本的危険性はパスキーだけが不必要に新たに生み出した不必要な破滅的危険性である。たかがパスキーごときのためにサービスにこれほど決定的に明らかな破滅的欠陥を新たに持ち込むことを許す理由など一切ない。どの認証方式も詰むがごとき妄言はこのパスキー固有の破滅的欠陥を隠蔽するための詭弁に過ぎない。図から明らかなように詰むのはパスキーだけでマジックリンクは詰まない。パスキーの仕様と運用をいじくり回し不要な修正を重ねて余計に脆弱性と危険性を増やすまでもなくマジックリンクをサポートするだけでパスキーの破滅的欠陥のすべての懸念と危険性から解放される。わざわざ危険なパスキーを使用してこの状況では安全この状況では危険とザルの穴を塞いでいくすべての努力は根本的に不要で無駄な努力であり最初から穴のないボウルを使えばいいだけである。すなわちすべては非共有パスキーとマジックリンクの認証構成だけで足りる。そもそもパスキーに強制リセットの概念があれば強制リセット不可能なパスキーとリカバリーコードの構成を公式推奨することはありえない。従ってパスキーは明らかに強制リセットの概念がない。本稿は前稿で説明済みのモデルの図式化の一つに過ぎずすべては前稿ですでに説明済みのことであり前稿を理解できていれば本稿のすべては読むまでもなく自明である。
