パスワードの時代が終わる理由 - パスキーの仕組みを図解でわかりやすく整理する - Qiita

はじめに 最近、GoogleやApple、メルカリ、楽天、PlayStationなどで「パスキー」という言葉を見かけることが増えました。「パスワードの代わりになる新しいログイン方法らしい」くらいは知っていても、「結局それって何なの？」「なぜパスワードより安全なの？」と聞かれると、説明に困る方も多いのではないでしょうか。 この記事では、パスキーの仕組みをゼロから整理します。エンジニアでない方でも読めるよう、専門用語には例え話を添えています。 対象読者 パスキーを使い始めた、または使うように促されているが仕組みが分からない方 「なぜパスワードが時代遅れになりつつあるのか」を背景から理解したい方 開発者ではないが、認証技術の流れを把握しておきたい方 この記事で得られるもの パスキーがパスワードと比べて何が違うのか 「公開鍵暗号方式」を南京錠の比喩で理解できる 登録時とログイン時に裏側で何が起きて

[koseki]

iPhone 1台しか持ってない場合、紛失したら次も iPhone を買わないといけない、というところが一番重要なポイントだと思う。アカウントのリカバリ手順がしっかり紙で管理できているなら、なんとかなるかもしれない。

[SATTON]

“デバイス紛失時のリカバリ「パスキーを2つ以上の端末に登録しておく」のが安全策です。”って端末2つ持ってない人をどう見てるんかな。

[mak_in]

パスキーのセキュリティ的メリットとスマホなどのデバイスによる利便性のメリットは分かるのだが、スマホ複数台持ちが普通でない状況でのスマホ損失時のリスクが面倒くさすぎる……のが個人的最大の欠点。

[inaken1980]

パスキーってトータルの体験が良くないんだよな。サービス毎に追加認証機だったりパスワードレスだったりバラバラだし、リカバリ手順も標準がない。iPhoneと1passwordで認証手順が違ったりして詳しくない人に勧めにくい

[fa11enprince]

パスキーは1端末にしか入れられんやつがたまにあるのでまだなくなるのは遠い気がする。そして端末無くした時の恐ろしさよ。この辺がまだこなれてない気がする。

[z67kjh]

WebAuthnの際にChromeを推奨するのはいいのだが、推奨に留まらずUA(-CH)で見分けてChromeじゃないですってブロックしてくる奴らが少数いて、こいつらにドス黒い感情が湧く

[sisya]

パスキー最大の問題点が、ちょっとした事故で取り返しがつかなくなること。リカバリーの手段を用意してくれているところなら問題ないが、どこもかそしこもパスキーになると復旧手段が実質ないところだらけになりそう

[u_mid]

2台あると楽ってだけで、端末1台でそれを紛失しても新端末買ってリカバリはできる　”リカバリ手段の設計はサービスごとに違います。ユーザー目線では「パスキーを2つ以上の端末に登録しておく」のが安全策です。”

[umaemong]

『紛失時のリカバリ』に語弊がある。(パスキーでもパスワードでも)認証情報を無くしたなら、それ以外の手段(SMS等)で”アカウントをリカバリ”することになる。"パスキーをリカバリ"するわけではない。/コメ書いてきた

[lavandin]

パソコン持ってる人が減った今、スマホ2台持ちは富豪、社畜、不倫、パパ活、ガジェット系YouTuberなどの特殊な人だけなので割と少数派だと思うんだがな…

[inazuma2073]

Bitwardenにパスキーの管理を任せるのはネット越しに再利用ではないのかなとか思ったり。

[noname774300]

パスワードマネージャー使ってるから必要性感じないパスキー。ドメイン違ったらパスワード入力されないようにもできるし。あとクラウドサービス依存は誤BAN、誤抹消されるかもだから信頼できない。

[maturi]

表示されて読み取ろうとしたら"そのQRコードは対応しておりません"と言われました

[commonp]

パスキーは、パスワードマネージャの Bitwardenに登録するようにしている。端末にかかわらず使える。パスワードマネージャとしても優秀で、二人までは無料で使えるし、超お勧め。（うちは、家族で有料で買っている）

[hanenone]

完ぺきではないけれど脆弱なパスワード管理をするよりよっぽどマシ、という印象。というかまずは対応のパスワードマネージャーでランダムな文字列をパスワードにして自身で入力しないを徹底するところからだと思う

[buhoho]

復旧経路は攻撃面になるので、パスキー存在理由のフィッシング耐性がなくなります。パスキーを進めるなら複数鍵登録のバックアップ必須、復旧は実店舗KYC必須です。セキュリティにコストかける覚悟決めようね☺️

[kz14]

パスキーの懸念点は堅牢性と表裏一体

[k-holy]

開発者としては、お金や秘密情報を扱わない（そしてユーザーからお金取れない）サービスにもパスキー対応を求められるのは重たいので、TOTP（認証アプリ）が普及して欲しいんだけども…。

[tmtms]

パスキーを保存した端末が使えなくなったときのことを考えたら、結局パスキー以外の何かが必要になっちゃうんだよなぁ

[hirrrose]

パスキーの仕組み

[KoshianX]

公開鍵方式がこんな簡単に使えるようになるなんて本当にすばらしい時代だよなあ。あとは秘密鍵の作り直しがもっと簡単になるといいのだが。メールやメッセージに署名や暗号化ができるとかもできるようになるといいな

[zakinco]

FIDE2と物理キー2個以上が安定すると思うけどね。

[otihateten3510]

パスキー対応は機種変更対応必須だよ、勘違いしてる人いない？

[atico]

今までのパスキーの記事で一番わかりやすかった。ブコメで記事の内容ではなくパスキーの仕様自体のいちゃもんが多いのは、みんな理解できた証。

[Shinwiki]

検証結果の取り出し含めての「パスキー」なのか？

[nxdebiru]

何はさておき、私が今できることは https://www.youtube.com/watch?v=Ao2tY0J-xyE のURLを示しておくことくらいだ。

[momomo1234]

なんで公開鍵と秘密鍵の両方あると安全なのかよくわからなかった　そこが書いてなかった残念

[iww]

『同期パスキー』 これがちょっとセキュリティ的にすげー良くないんじゃないかと思ってるやつだ

[FreeCatWork]

パスワード、もういらないなんて、楽ちんにゃ！

[bomem]

パスキーの安全確保のために生体認証します。それなら、従来のパスワードを生体認証に置き換えるだけでよくない。

[tach]

参考

[ooblog]

#パスキー #FIDO 「生体情報~誤解されがちですが~秘密鍵は端末の中で厳重に保管~サーバーには公開鍵しか渡らない~課題~機種変更~デバイス紛失」暗号復号お勉強省かれる婉曲表現続く限り機種変時の鍵行方不明で詰む定期。

[oikazewind]

パスワードの再設定でメール認証するけど、二段階認証でメール認証もするなら、パスワードは無意味に感じていた

[felick]

パスキーがパスワードを置き換えるものならリカバリ手段も今までと同じようにSMS/メール/自動通話等で用意してくれればいいのになぜか締め付けられて利便性が低いサービスが多いのがネック

[watanabej]

MacとiPhoneでパスキー共有できてるので快適。

[kagehiens]

分かりやすいけど何でこのシーケンス図、認証器をブラウザの右側に書いてるの。どう考えても認証器の方がユーザー＆ローカル寄りでしょ。サーバーとの直接通信回数なんてゼロ回だし。

[ty356trt5]

まだ過渡期だから落ち着くまで混乱続きそう。野村証券はPCでのログイン時にブルートゥース必須とかいうゴミ仕様で苦労した

[fu_kak]

歴戦のブクマカが端末一個しかないやんつらいやでの話をしてるけど、もうIDとパスワードはだるい、ってこともわかってそうな人たちなので気持ちの落としどころなんじゃろな。おれは賛成、馬鹿みたい。

[zx68k]

端末の故障・紛失で詰まないかとか、多種多数のアカウントがある場合にスマホの機種変でとんでもない手間がかからないかとか、いろいろ心配がぬぐえず、パスキーという言葉を聞くたびにイライラしている

[sgo2]

デバイス紛失が心配ならhttps://www.amazon.co.jp/dp/B0BVNRXFHT でも買ってコレに紐付ければ良い