2024年8月4日日曜日

パスキーはパスすべきなのか?

こんにちは、富士榮です。

パスキー便利ですよね。これまでもパスキー推しのトーンでポストを書いてきましたが、一方でX(旧Twitter)ではうまく使えない、動かない、などの声がリテラシーの高い層からも聞こえてくるのも事実です。


そんな中、IDProが「I’ll Pass (for now) on Passkeys」という記事を先日公開しています。

https://idpro.org/passing-on-passkeys/

IDProの記事より


もちろん、IDProとしても著者個人の意見である旨を断った上で記事を掲載していますが、ある方面からの見え方としては正しいこともあるので把握しておくことは大切だと思います。

なお、別途書こうと思いますが、後日Dean Saxeが同じくIDProに反論(?)記事も書いているのでそれはそれで面白いです。


今回は「今の所、パスキーはやめとくわ」っていう著者の主張を見ていきましょう。

主な理由として、以下を挙げています。

  • セキュリティ
  • 相互運用性

セキュリティ

著者は、認証器を購入する、認証器の回復をする、という行為を考えると認証器に関する情報は所有者・利用者のみならずベンダーやバックエンドファブリックを運営している事業者とも共有されてしまう、という点を挙げています。例としてLastPassからの漏洩事故を挙げていますね。
まぁ、全ての人が他人に推測されない十分なエントロピーのあるパスワードをパスワードマネージャなどに依存せずに運営できる、という状態が来れば著者の主張も納得できますが私には無理です。

相互運用性

著者はこう主張しています。
Passkeys did seem like an initial positive middle ground, however the confusing marketing, implementation limitations, sometimes lack of transparency and interoperability has so far, undermined their potential to be a truly great improvement on current password and MFA options.

 パスキーは、初期のポジティブな中間的な選択肢のように思えたが、マーケティングの混乱、実装の限界、時折見られる透明性の欠如、相互運用性により、パスワードやMFAのオプションを真に大きく改善する可能性は、今のところ損なわれている。

特に透明性の欠如の部分ではProtonのブログを引用しています。

https://proton.me/blog/big-tech-passkey

Protonのブログは若干の誤認識がありそうですが、簡単にいうと結局GoogleとAppleが牛耳ってるじゃん、Synched Passkeyの鍵の同期もAppleワールドの中ではできるけど自分で好きにExportしてWindowsでも使えるようになってないじゃないか、という主張がされています。

同じようにGoogleはChromeを使っている限りはパスキーの同期はできるけどFireFoxを使ったらダメじゃん、ということで相互運用性や透明性について課題があると主張がなされています。


うーん、全体にそこじゃない感じしかしませんが。

私が観測している範囲だと、パスキーが使えないっていう主張のほとんどは一部は上記の2点に関連するところはあるものの、実際はパスキーを設定させるまでのユーザ導線が難しすぎる、とか、機種変更やサービス側の機能Updateが発生した場合に過去に設定したパスキーが見つからないとか、詰む、などサービス側の問題な気がしているんですが。。。


0 件のコメント: