Fediver

発見不可能なFIDO2クレデンシャルはPasskeyって呼んで良いことになったのかな

FIDO U2FはPasskeyでは無いってことなのか

生体認証不可のWindows PCでもWindows HelloのPIN登録してあればPasskeyはそこに格納できる。けど、自作PCの場合はBIOS更新とかCPU交換といったメンテナンス・アップグレードでPasskeyが蒸発する危険があるので、FIDO U2F（Titan Security Key）を導入した

生体認証不可の自作PCでPasskey使うためにGoogle Titan Security Keyは持っているけど、
PIN入力→本体のタッチ領域にタッチ（指紋採られるわけではない）
という手順ではあるし

物理FIDOセキュリティーキーも確かタッチ領域があってそこ触れることで認証完了するから、別にイメージ違いじゃない気はする…
（生体認証付きのPasskeyを強制するサービスもあるにはある）

Passkeyって名前Misskeyのサーバ名っぽくないですか (もう言われてる？

Yahoo! JapanはSMS認証・メール認証・Passkey（生体認証またはPINコード方式に限る。FIDO物理セキュリティーキーは非対応）のいずれかなんですよね…

Keeperパスワードマネージャーの第二要素にPasskeyを登録している場合、ブラウザ拡張機能でログインする場合はパスワード→Passkeyの順になるけど、デスクトップアプリケーションでログインする場合はPasskey→パスワードの順になるとかそういうことはよくある

自分の場合は各サービスに対するPasskeyはKeeperに保存して、Keeperにログインするためのパスキーは各端末（生体認証非対応の自作PCにあってはTitan Security Key）に入れる体制

Passkeyがクラウド同期された発見可能なFIDO2資格情報だったころの話しかしらない。
Yubicoは、利便性のパスキーに対してクラウド同期のアタックベクタを削減できるYubikeyみたいな言い方をしていた

なぜGoogleはパスキーをゴリ押しするのか？その仕組みと本当の狙いを深掘りしてみた
https://zenn.dev/nihiru/articles/93e3788c340ae6

ぱっと見誤った前提に基づいて書かれているように見える。

パスキーはあなたのGoogleアカウントに紐づけてクラウドで同期されます。これは、「認証のハブ」としてGoogleアカウントの価値が飛躍的に高まることを意味します。

パスキーはGoogleアカウントに紐づけて同期する義務はない。FIDOセキュリティキーも現在はPasskeyに包含することになっているし、Windows Helloをパスキーとして登録する場合はデバイスごとに登録することになっているし、任意のパスワードマネージャーを同期に利用することもできる（自分はKeeperを使っている）

passkey絡みだとこれもか
https://github.com/misskey-dev/misskey/issues/14469

IDパスワード認証だって接続先ドメイン名の確認をして、ランダムなパスワードを認証付きで保存してればpasskeyと同じぐらい安全

yubikeyがpasskey出なかった時代から情報がアップデートできてない

TOTPをパスワードマネージャに入れたりしてる現状では生体認証とか所有認証とかそんなにシビアになる必要ないと思うしあまりシビアでない普及帯がpasskeyだったはず。
所有認証を確実にしたいならyubikeyみたいなリモートでの侵害が難しい単一機能のハードウェアを用意しようとそんな感じ

パスワード管理ソフトにFIDO2を入れればそのソフトによっては単一要素のpasskeyは誕生する。
というより多要素認証のパスワードマネージャーのほうが少なそう

@omasanori @tadd @zundan セキュリティキーを所有の2要素認証要素として使う場合、FIDO U2Fを使えばPIN入力はなしに使えます。Googleでセキュリティキーを登録するとそうなります。
passkey (クラウド共有された発見可能なFIDO資格情報) はもともと生体認証が必須で、所有要素は微妙ですけどスマホで生体認証すればパスワードマネージャーと同程度に安全でドメイン名も確認できるみたいな価値観のはずです。
最近はFIDOを普及させるためのバズワードみたいでよくわからないですけど。
人間が入力する必要が薄れたユーザー名とパスワードを現代的に設計し直してドメイン名認証機能が付いてるって意味では優れてるかも。

passkey (クラウド共有された発見可能なFIDO2)
だと認識してるけど今のブランディング的にちょっと古い定義かな。

passkeyの場合はそもそも所有概念が曖昧になるのでよくわからない。
高木浩光先生は今日日所有と知識と生体の3要素で認証の強度を考えるのがナンセンスとか主張してた気がする

[Auto Note]:Updated
Fetch URL: https://github.com/misskey-dev/misskey
Commit: d8a2eeb7 to 27a256b5
show shown (#14639)
test(backend): Add test for Passkey API (#14635)

#みーくりあ！UpdateLog