パスキーの安全性について - cockscomblog?

パスキーによる認証を開発したとき、パスキーの安全性をどう評価するのが妥当なのか検討していた。もちろんフィッシング耐性が高いというような特性については把握していて、サービス利用者にとって便益の多い認証であることはわかっている。ただそれが、例えばパスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。これを一言に表すのはあまり簡単ではない。 パスキーは多要素認証なのか 多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証を言う語だ。 多要素認証は単一種類の要素による認証と較べて飛躍的に安全である。例えば、物理的な鍵は something you have であるが、それが盗まれてしまえば安全ではない。鍵が複数あっても、一度に盗まれてしまうかもし

[sgo2]

取り敢えずTOTPはサーバ側がクライアントを検証してないのでバイパス攻撃に対し脆弱だけどパスキーは検証される、位の認識で良いかと。(ユーザが証明書を使いこなせばTOTPでも十分だろうけど非現実的)

[daruyanagi]

“パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている”

[chikisio]

パスキーなんてデバイスに認証情報を保存しといてどこが安全なんだろ..と訝しんでたけど、デバイスでの本人認証を原則要求する仕組みなのね。

[sora_h]

基本的にUVが立たないことはないと思って良いはず

[hiromi_ayase]

UV = false で認証される例の一つとして、AWSのMFA認証の中のWebAuthnがありますね。具体的にはChromeなどで生体認証なしでパスキー認証が走るダイアログが出てきます。

[ka-ka_xyz]

どっちかというとクライアントサイドの方が気になる（ブラウザがOSを介してTPMへアクセスする時にマルウェアが関与する余地があるかどうかとか、端末側認証が生体認証だと認証の意思があるかどうか不安とか）

[otchy210]

えー、知らんかった。パスキーを使うのに生体認証などの仕組みは必須要件かと思ってたわ。オプショナルだったとは。

[onionskin]

想像以上に素晴らしい記事だった。

[NOV1975]

パスキーの仕様にUVフラグがオフ、があるのであれば総体的に見て多要素認証とは言えない、ってなっちゃうかな。UVフラグって利用者は確認できるの？

[kagerouttepaso]

認証のレベルアップをお題目に、鍵の管理権をユーザーから企業にしれっと移しているのがEVILなパスキー。

[hinaloe]

MFAとかで要求するならhaveの2要素目になればいいからUV=false（物理キーのかわり）、まあわかる（パスマネのロック状態に連動するの使ってると存在にすら気付かないな）

[natu3kan]

デバイスのロックを解除するパスワードや生体認証で本確とれたってデータがあれば本人だろうって見なせるもんなあ。ついでにデバイスもセキュアになるし。

[yarumato]

“パスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証”

[hylom]

パスキーは多要素認証とは独立した仕組みなので多要素認証が求められる場所ではちゃんと設計しないといけないのですがそれを認識できていない（認証に端末が使われるから二要素、的な勘違い等）ケースがあるんすよね

[ritou]

「多要素ならOK」とサマられがちだが、もっと解像度を上げて「ある認証方式が単体でどこまで安全なのか、不正ログインのリスクがどれだけのもので、許容できるのか」まで考慮できるともっと深い理解が得られそう。

[Phenomenon]

ところでUVフラグのチェックをサーバー側でやっているかどうかはみんなチェックしたほうがよい。MacのクラムシェルモードでUVを要求しているにもかかわらずUVが必須とならないバグ（仕様）が発見されている

[securecat]

あとで読む

[oooooooo]

UV = false なら SMS の MFA する、みたいなガイドラインがないと、現段階だと俺々パスキー MFA が跋扈しそう

[ckis]

あ、よも。

[JULY]

パソコンでのパスキー利用時に生体認証が使えない場合、Windows だと Windows Hello によって PIN 入力が要求される気がする。であれば something you know を満たせる。「何も問われない」ケースはあるのかなぁ。

[umaemong]

利用者的には、パスキーは『適切に設定されたパスワードマネージャ』ぐらいの感覚。ドメイン検証のうえ、安全なパスワード(的なもの)の送信可否ダイアログを出してくれて、要生体認証。僕の手動より安全だと思う。

[misshiki]

“パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている”

[koseki]

パスキー + TOTP の組み合わせを選びたい感じがする。 https://zenn.dev/ritou/articles/ac61682ee8ee01

[honma200]

“RP（認証するサービス側）はuserVerificationの値によって、パスキーの挙動を制御できる” 複数デバイス共有禁止とかできるってことだろうか？

[yMehwish]

343435

[mizdra]

NIST SP 800-63B へー