【Passkey】の検索結果
Passkeyがクラウド同期された発見可能なFIDO2資格情報だったころの話しかしらない。
Yubicoは、利便性のパスキーに対してクラウド同期のアタックベクタを削減できるYubikeyみたいな言い方をしていた
なぜGoogleはパスキーをゴリ押しするのか?その仕組みと本当の狙いを深掘りしてみた
https://zenn.dev/nihiru/articles/93e3788c340ae6
ぱっと見誤った前提に基づいて書かれているように見える。
パスキーはあなたのGoogleアカウントに紐づけてクラウドで同期されます。これは、「認証のハブ」としてGoogleアカウントの価値が飛躍的に高まることを意味します。パスキーはGoogleアカウントに紐づけて同期する義務はない。FIDOセキュリティキーも現在はPasskeyに包含することになっているし、Windows Helloをパスキーとして登録する場合はデバイスごとに登録することになっているし、任意のパスワードマネージャーを同期に利用することもできる(自分はKeeperを使っている)
IDパスワード認証だって接続先ドメイン名の確認をして、ランダムなパスワードを認証付きで保存してればpasskeyと同じぐらい安全
yubikeyがpasskey出なかった時代から情報がアップデートできてない
TOTPをパスワードマネージャに入れたりしてる現状では生体認証とか所有認証とかそんなにシビアになる必要ないと思うしあまりシビアでない普及帯がpasskeyだったはず。
所有認証を確実にしたいならyubikeyみたいなリモートでの侵害が難しい単一機能のハードウェアを用意しようとそんな感じ
パスワード管理ソフトにFIDO2を入れればそのソフトによっては単一要素のpasskeyは誕生する。
というより多要素認証のパスワードマネージャーのほうが少なそう
@omasanori @tadd @zundan セキュリティキーを所有の2要素認証要素として使う場合、FIDO U2Fを使えばPIN入力はなしに使えます。Googleでセキュリティキーを登録するとそうなります。
passkey (クラウド共有された発見可能なFIDO資格情報) はもともと生体認証が必須で、所有要素は微妙ですけどスマホで生体認証すればパスワードマネージャーと同程度に安全でドメイン名も確認できるみたいな価値観のはずです。
最近はFIDOを普及させるためのバズワードみたいでよくわからないですけど。
人間が入力する必要が薄れたユーザー名とパスワードを現代的に設計し直してドメイン名認証機能が付いてるって意味では優れてるかも。
passkey (クラウド共有された発見可能なFIDO2)
だと認識してるけど今のブランディング的にちょっと古い定義かな。
passkeyの場合はそもそも所有概念が曖昧になるのでよくわからない。
高木浩光先生は今日日所有と知識と生体の3要素で認証の強度を考えるのがナンセンスとか主張してた気がする
[Auto Note]:Updated
Fetch URL: https://github.com/misskey-dev/misskey
Commit: d8a2eeb7 to 27a256b5
show shown (#14639)
test(backend): Add test for Passkey API (#14635)
#みーくりあ!UpdateLog
[Auto Note]:Updated
Fetch URL: https://github.com/misskey-dev/misskey
Commit: aee98481 to 4c76ea1f
Update CHANGELOG.md
Add Sign in with passkey Button (#14577)
Update about-misskey.vue
#みーくりあ!UpdateLog