パスワードマネージャーを使うくらいだったらパスキーでいい。
※誤解を招く可能性あり。
NISTのパスワードガイドライン
SP800-63-3
警視庁サイバー警察局がパスキーの普及促進を提言しているらしい
「国民を詐欺から守るための総合政策」2024-06
WWDC2022でAppleがFIDOのことをパスキーと呼び始めた。
マジックリングは中間者攻撃
シングルサインオンは安全性を犠牲にしている。
- UAF Universal Authentication Framework
- U2F Universal 2nd Factor
- CTAP
- WebAuthn
- FIDO (CTAP + WebAuthn)
同期パスキーは安全なのか
-
パスワードに比べれば
-
第一要素認証器:パスワードレス認証ができるやつ。(2要素)
-
第二要素認証器:2段階認証のために使われるやつ
-
キーハンドル
-
ローミング認証器:要はハードウェア
-
バウンド認証器:要はソフトウェア
CTAP2がパスワードレス認証
2019年3月にWebAuthnが認定