Fediver

？？？「パスワードマネージャ？使いませんね。パスワードを忘れたら新しくアカウントを作成するので。」

マジでいる。

パスワードマネージャーのセルフホストってタンス預金に近しいものがあると思っている。自分の手元・足元にあるリスクを無視している。

ブラウザのパスワード保存機能も補助的には使うけどマスターは外部パスワードマネージャーにするようにしている
（紆余曲折を経て今はKeeper）

なぜGoogleはパスキーをゴリ押しするのか？その仕組みと本当の狙いを深掘りしてみた
https://zenn.dev/nihiru/articles/93e3788c340ae6

ぱっと見誤った前提に基づいて書かれているように見える。

パスキーはあなたのGoogleアカウントに紐づけてクラウドで同期されます。これは、「認証のハブ」としてGoogleアカウントの価値が飛躍的に高まることを意味します。

パスキーはGoogleアカウントに紐づけて同期する義務はない。FIDOセキュリティキーも現在はPasskeyに包含することになっているし、Windows Helloをパスキーとして登録する場合はデバイスごとに登録することになっているし、任意のパスワードマネージャーを同期に利用することもできる（自分はKeeperを使っている）

Keeper （パスワードマネージャー。ウィリアムズのスポンサー） #f1jp
https://www.keepersecurity.com/ja_JP/williams-racing-case-study/

KeePer （カーコーティング。セルモのスポンサー） #SUPERGT
https://keepercoating.jp/racing/

Hackers Weaponize KeePass Password Manager to Deliver Malware & Steal Passwords
https://cybersecuritynews.com/hackers-weaponize-keepass-password-manager/

フィッシングメールや広告を通じて、KeePassパスワードマネージャーのインストーラーであると称するトロイの木馬が拡散された。これを実行すると、正規のKeePassのように振る舞うがバックグラウンドでマルウェアを実行するアプリケーションがインストールされてしまい、情報漏洩の危険性がある。

パスキーのほうが安全なのはわかるんだけど、特定パスワードマネージャーに勝手に登録されるのはベンダロックインの危険性があるんじゃないかと…

@dampuzakura 正確には2段階認証専用になるのかな？
8月以降はedgeのパスワードマネージャ使わないとパスワード見れなくなるらしい
https://support.microsoft.com/ja-jp/account-billing/microsoft-authenticator-%E3%82%AA%E3%83%BC%E3%83%88%E3%83%95%E3%82%A3%E3%83%AB%E3%81%AE%E5%A4%89%E6%9B%B4-09fd75df-dc04-4477-9619-811510805ab6

この間のMicrosoft authenticater の終了もそうだけど、商業的な目論見を持って無料で提供されてるパスワードマネージャを使うものじゃないな。

8月以降保存済みパスワードにアクセス不可に MSが認証アプリ「Authenticator」利用者に警告
https://forbesjapan.com/articles/detail/78913

Microsoft Authenticatorをパスワードマネージャーとして使っているiOS・Androidユーザーのみ影響。Authenticatorのパスワードマネージャー機能を廃止しEdgeブラウザに移行。Edgeブラウザを通じて引き続きパスワード自動入力機能は有効。
https://support.microsoft.com/ja-jp/account-billing/microsoft-authenticator-%E3%82%AA%E3%83%BC%E3%83%88%E3%83%95%E3%82%A3%E3%83%AB%E3%81%AE%E5%A4%89%E6%9B%B4-09fd75df-dc04-4477-9619-811510805ab6

パスワードマネージャのパスワードの管理方法問題
皆はどう管理してる?

いつも復号してる暗号化ファイルなら脅威モデルはエクセルにそのまま書いておくのと変わらないもんなあ。
パスワードマネージャの暗号化は安全に同期するためのものだと思ってる。

パスキーの定義が変わって、クラウド同期しないパスワードマネージャの作ったものまでパスキーになってるからややこしい。
パスキーはベンダーロックイン上等でApple/Google/Microsoftに同期するもののみにした方がわかりやすかったのかも

パスワードマネージャのバックアップ、パスワードを忘れてもアクセスできる場所でないといけないので難しい

パスワードマネージャーが壊れた時
ミス廃だからみすきー辞めた瞬間廃人(物理)になると思う
#もしも私がミスキー引退したら

TOTPをパスワードマネージャに入れたりしてる現状では生体認証とか所有認証とかそんなにシビアになる必要ないと思うしあまりシビアでない普及帯がpasskeyだったはず。
所有認証を確実にしたいならyubikeyみたいなリモートでの侵害が難しい単一機能のハードウェアを用意しようとそんな感じ

パスワード管理ソフトにFIDO2を入れればそのソフトによっては単一要素のpasskeyは誕生する。
というより多要素認証のパスワードマネージャーのほうが少なそう

@omasanori @tadd @zundan セキュリティキーを所有の2要素認証要素として使う場合、FIDO U2Fを使えばPIN入力はなしに使えます。Googleでセキュリティキーを登録するとそうなります。
passkey (クラウド共有された発見可能なFIDO資格情報) はもともと生体認証が必須で、所有要素は微妙ですけどスマホで生体認証すればパスワードマネージャーと同程度に安全でドメイン名も確認できるみたいな価値観のはずです。
最近はFIDOを普及させるためのバズワードみたいでよくわからないですけど。
人間が入力する必要が薄れたユーザー名とパスワードを現代的に設計し直してドメイン名認証機能が付いてるって意味では優れてるかも。