パスキー認証に対する脅威と対策 (2025秋)

ritouです。 ここ数年、ユーザー認証のお話をさせていただいている中、最近ようやく「パスキー認証はね、入れとかないと」みたいな雰囲気になってきましたが、しかしその一方で、「パスキー認証のこういうところが好きになれない」といったご意見も当初からいただいています。今回は、その中の「こうしたらやられる」と言う主張、つまりパスキー認証に対する現状の脅威、考えられる対策 について整理しましょう。 ユーザー認証の現状とこれから ユーザー認証はここ数年、脅威の認識と対策の繰り返しの中で変化してきました。 パスキー登場までの経緯については、 “パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係 にて整理しています。 3行でまとめると、次のようになります。 パスワード認証のみの利用は、パスワードの使い回しによる他サービスへの影響範囲を考えても、極めて危機的な状況である 一般的に使われている「パ

[ton-boo]

当人認証をパスキーで、リカバリ含む本人確認はマイナンバーカードでというのが一般的に受け入れられやすい状況を目指したい

[napsucks]

パスキーは内部で使われてるFIDOのorigin bindingがフィッシング耐性の鍵なのよね。サーバ認証を機械的に行えるのが強み。

[sora_h]

アカウントリカバリーが引き続き難しいポイント

[SATTON]

準備案内もしてないのにリカバリについての情報管理をユーザー側にゆだねるから「詰む」って言われるんやで。早くベストなパスキー実装を見せてほしいもんやね。

[umaemong]

リカバリ手段やフォールバック用の認証情報を適切に管理するのは利用者側の責任だとは思うが、すると結局リテラシーが低い人が取りこぼされる。パスキーは紛失しやすいので、この辺のフォローが重要だと思う。

[ritou]

これまで語られた｢何に強いのか｣に加えて｢何に弱いのか｣も認識した上で、パスキーが使われてこれまでよりも安全面で一歩進んだ世界にしていきましょう。

[otchy210]

結局、認証レイヤーをどこまで対策しても、どんな方法でログインしても、ログイン後のセッションを狙う攻撃に対しては無力なんだな、と改めて思った。

[pmint]

10年ほど前の話題だけど、読むとひどいな。はてなーには人気。"攻撃者のパスキーを登録させるフィッシング攻撃"…パスキー分かってない人だ。"突破"笑。催眠術も考慮しないと。この人の考えるBLEは「すれちがい通信」か

[Rambutan]

アカウントリカバリーは別に認証要素がパスワード(知識)だろうが生体だろうが所有だろうが変わらないのが正しいあり方のはずだけどね、逆にパスワードに依存しているのだとしたらそれは何かが間違っている

[fraction]

外側の選択肢に従来のパスワード入力と同じ形態のものがありさえすれば明日からパスキー使います。

[ot2sy39]

脅威に対応できるといくら説明されても、ぜんぜん響かない。そもそも「パスキーは安全ではない」という理由で導入しないケースなんてあるのか？

[vvvf]

ちょっとパスキー以外の話に広がりすぎ、パスキーは認証であってセッション管理やビジネスロジックは別次元の話。

[Shinwiki]

デバイス間共有のとこが心理的に引っかかるのと、結局認証依頼するための認証のとこでやられるんじゃないか？って感覚。知らんけど。ユビキーで遊んでる。

[circled]

パスキー求めてくるサイトの問題点「パスキー見せて？え？無い？じゃあパスワード入れてくれれば良いよwww」← 何のためのパスキー？

[hogeaegxa]

リカバリがいるのって、クラウドにアクセス不能になって端末も爆発したときだよな。現実的にはリカバリコードなんだろうけど、安全にっていうともう事前登録のリアル住所とリアル手紙を使ったリアル認証しかなさそう

[mag4n]

端末認証の技術でサービス側の認証にも使おうとしてるのがパスキー。端末認証のパスコードと分ける意味でPINとか言ってるが分かりにくいよなぁ。

[yaychang]

パスキー入れてないようじゃ無理かー

[sqrt]

現状色々な認証方式が入り乱れててサッパリ分からん…過渡期にしてもUXが酷すぎると思う

[gimonfu_usr]

“リアルタイム型フィッシング”　　（　パスキーだとPINいうのが一番つかいやすそうだけど、その認証の仕組みがわからん。パスワードとどうちかうん？　〔ググレカス（古語）案件〕）