パスキー時代の"認証要素"の考え方 ~単一要素の組み合わせ、おまとめMFAと同期~

ritouです。 前回は、パスキーやパスワードマネージャーを使う時の認証要素について触れました。 今回は、 同じ要素の認証を重ねる意味 同一端末やパスワードマネージャーだけで完結するMFA あるアカウントに紐づけられて同期されるクレデンシャル管理 についての 基本的な整理 をします。 前回に続き、書いていることは無難な内容だと思います。 (長いので先に)まとめ 単一要素を重ねる意味について、要素の種類によっては有効な場合もある SYK を重ねるケースは決済などでまだ見られるが今後は淘汰されていくのでは？ SYH の場合、管理デバイスを分離することで安全性を上げられる。ただし手間は増えるしフィッシング耐性は別途考慮する必要あり。 SYA を重ねる=単一SYAの精度を上げるのと同じ扱いになりそう(顔だけ、指紋だけ -> 顔 + 指紋など) 同一端末やパスワードマネージャー内で完結するMFAやプ

[JULY]

プラットフォームに紐付けられたパスキーって、一番最後に書かれているパターンで、この不安が拭えないんだよなぁ。今は、KeePass+Dropboxで同期で、KeePassのアンロックは端末と無関係で端末より先にロック、としている。

[addwisteria]

Email OTPはSMS OTPと異なりSYK扱い(ID,passwordでWebログインやIMAP,POPアクセスできるので。なのでNIST SP 800-63-3ではIP電話と共にEmailは所有要素として認められない)なので、そういった意味でSYK×2のサービスは大量にあるはず。

[teppeis]

SYHを重ねると、紛失リスク上昇とそのリカバリ対応も面倒そう