現在のパスキーは単一障害点であるパスキーは二要素認証をスキップ GoogleやGitHubといった多くのサービスで、パスキーでの認証時に TOTP などの二要素認証をスキップします。パスキーは単一で安全な認証として扱われているからです。 これは一見合理的に見えますが、現在のパスキー実装と組み合わさって、深刻なセキュリティホールを生んでいます。 クラウド同期 iCloud キーチェーン、Google パスワードマネージャー、1Password、Bitwarden——現在の主要なパスキー実装は、すべてクラウド同期を前提としています。 そして、ローカルにのみ保存するオプションは存在しません。 攻撃シナリオ GitHub や Google などの重要なサービスプロバイダーで 2FA を有効化 これらのサービスにパスキーを登録し、iCloud キーチェーンに保存 サービスプロバイダーはパスキー使用時に 2FA をスキップする 攻撃
