結局パスキーはパスすべきなのか？

こんにちは、富士榮です。

結局「パスキーはパスすべきなのか？」という話です。

昨日のポストでDean SaxeがIDProに反論記事を書いているということを書きましたが、今日はそちらを見ていきましょう。

Don’t Pass on Passkeys

https://idpro.org/dont-pass-on-passkeys/

IDProのポストより

昨日取り上げたポストでは、結局認証器ベンダや同期ファブリックを運営しているベンダと鍵を共有することになる、とか、異なるベンダのプラットフォームを跨いでの鍵の同期や再利用ができないことが指摘されていました。

今回のDeanのポストではそれらの指摘に対して以下のように反論しています。

• デバイスにバインドされたパスキーであればTPMやTEE、SEに紐づいているので他者から抜き取られることはない
• 同期ファブリックは安全に管理されている
• クロスデバイス認証（Hybrid）を使うことで異なる事業者のプラットフォームでもパスキーを使える
• 最近はパスワードマネージャを提供している事業者がパスキーにも対応してきているのでプラットフォームを跨いでパスキーを利用できるようになってきている

また、特にセキュリティの指摘（LastPassからの漏洩）に関しては、「パスワードマネージャを利用している人は30%くらいで、84%の人はパスワードを自分で使い回している」と反論しています。そして、こうなるとパスワードとパスキーの強度の比較の問題になるので、NIST SP800-63Bsup1でも取り上げられているように明らかにパスキーの方が強度が高いのである、と主張しています。

そして、相互運用（ベンダロックイン）問題については、それぞれのプラットフォームごとにパスキーを登録すればいいじゃないか、という若干乱暴（？）な主張とともに、一部ベンダでは秘密鍵のエクスポートにも対応してるぞ、おすすめはしないけどね、と書いています。

最後に、FIDOアライアンスではUniversal Credential Exchangeプロトコルを開発していて、これを使えば異なるクレデンシャルマネージャの間で安全にクレデンシャル情報を転送できるようになる、と締めくくっています。

まぁ、面白い議論ですね。

いずれにしてもこの手の話は100:0になることはないので、切磋琢磨しながら技術の進歩が進んでいくものだと思います。我々は常にこういう議論があることを理解しておくことが重要なんだと思います。