最初に結論
パスワード付きUSBセキュリティキーが最強。
- 基本は、パスキーでOK
- パスワードマネージャーをパスキーで保護すればいい!
- パスキーに対応してないサービスががなりある。
- GoogleやXなどでのログインを使うと、パスキー認証と同じセキュリティを担保できる。
- ただ最終的には全てのサービスをパスキーで認証できれば最高。
- パスワードログインは絶対に二段階認証をつける。
- ただし対国家権力には、パスワードが大事
具体的な話
- まだパスワードレスは一般的ではないので、パスワードはまとわりついてくる。
- パスワードを安全に保存するにはパスワードマネージャーは必須
- 使い回しを防ぐ。
- 辞書攻撃を防ぐ。
- パスワードが流出する場合もあるので、パスワードでログインする際は2段階認証をつけた方がいい。
- フィッシングのリスクが一番少ない二段階認証はFIDOで、次点でTOTP
- 基本はTOTPでいいか?
パスワードマネージャーのセキュリティは超大事。厳重な管理をしよう。
| 認証方式 | フィッシング | 差し押さえ |
|---|---|---|
| パスワード | しぬ | 保存してなければ |
| pass+sms | わりとしぬ | 〃 |
| pass+TOTP | わりとしぬ | 〃 |
| pass+FIDO | 大丈夫 | 〃 |
| FIDO2 | 大丈夫 | 無理 |
| パスキー | 大丈夫 | 無理 |
- パスワード
- フィッシングのリスクがやばい
- 流出したらやばい
- 覚えられない(10文字とか無理)
- 差し押さえとかで終わらない
- FIDO(USBセキュリティキー)
- 対応が少ない
- FIDOには二段階認証としての側面と、パスワードレスとしての側面がある
- 差し押さえとかで終わる
- https://zenn.dev/gebo/articles/nordic-nrf52840-dongle-opensk Nordic nRF52840 Dongle でセキュリティキーを自作する
- FIDO2ってやつが良さそう
- 生体認証
- 公的機関から不正にアクセスされそう(差し押さえとかで終わる)
- 公開鍵
- 秘密鍵盗まれたらやばい(パスフレーズをつけてもやばい)
- パスキー
- FIDO2とほぼ同じです。
- 自分のスマホなりなんなりをFIDO2デバイス化できるものです。
https://qiita.com/smileyFace/items/df933e940142282cdaf9
パスキー対応状況