ばすきーさん、単要素を前面に出して宣伝してくことにしたのかな… #なんかみた
Conversation
Notices
-
zunda (zundan@mastodon.zunda.ninja)'s status on Tuesday, 22-Oct-2024 20:50:01 JST 
zunda
-
ikeji (ikeji@ostatus.ikeji.ma)'s status on Tuesday, 22-Oct-2024 20:49:56 JST 
ikeji
@tadd @omasanori @zundan amazonでパスキー使おうとしたら、単要素パスキーの他にTOTPを要求されて、「パスキーとTOTP」じゃなくて「2要素パスキー」か「パスワードと単要素パスキー」にしてほしいなと思いました。 -
斎藤ただし (tadd@best-friends.chat)'s status on Tuesday, 22-Oct-2024 20:49:57 JST 
斎藤ただし
@omasanori @zundan 既存の多要素認証が普及した世界への、です
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:49:57 JST 
Masanori Ogino 𓀁
@tadd @zundan なるほど。しかし、それがないとパスワードとセキュリティキーの二要素認証は実装できなくなると思います。(セキュリティキーによる認証にPINか生体情報によるロックを要求することになるので、三要素認証は実装できるけれど二要素認証は実装できない状態になる。)
PasskeyはFIDO2の認証情報のマーケティング上の別名であって全く新しいAPIを用意したわけではないので、二要素認証用のデバイス自体は単要素認証(所持)という場合(パスワード認証と組み合わせる想定)は引き続きサポートする必要は当面の間あるのではないでしょうか。
-
斎藤ただし (tadd@best-friends.chat)'s status on Tuesday, 22-Oct-2024 20:49:57 JST
斎藤ただし
@omasanori @zundan ごめんなさい、前者が分かりませんでした。パスワードがある、そこにセキュリティキーを足したい、なら、二要素目も三要素目もなく、一要素目のパスワードで認証するしか無い気がしました。
「既存でもあるし」というのはその通りだなと思い直しました。自分が問題じゃないのかな、と思ってるのは、多要素認証の代替として一要素Passkeyを推してるのを複数箇所で見たから、で、そこを書いてなくてごめんなさい。ここは多要素からのデグレじゃないの?(なんでそれを許したままなの?)と思ってしまいます
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:49:58 JST
Masanori Ogino 𓀁
@zundan サービス提供者はpasskey登録時(鍵対の生成時)に多様素認証を要求するオプションつきでAPIを呼ぶことを忘れないようにしないとユーザーに単要素認証で登録される可能性があります。これはサービス提供者がパスワードを不適切な形で保存するのと同様で、passkeyの問題というよりはそのサービスの問題だと思います。
-
斎藤ただし (tadd@best-friends.chat)'s status on Tuesday, 22-Oct-2024 20:49:58 JST
斎藤ただし
@omasanori @zundan 後発なのに単要素認証を積極的に選択肢として残してる時点で、自分はPasskey自体の問題じゃないかなーと思っていますが、どうなんでしょうか。
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:49:58 JST
Masanori Ogino 𓀁
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:49:59 JST
Masanori Ogino 𓀁
@zundan 試しにGitHubでYubiKeyを2FAとpasskeyで設定したのですが、passkeyとして設定する場合のみPINの設定を求められました。(PINの設定UIはウェブサービスではなくブラウザのUI)
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:49:59 JST
Masanori Ogino 𓀁
@zundan YubiKeyをリセットして再度試したところ、GitHubは次のように振る舞うことがわかりました。
・YubiKeyにPIN設定していない状態だと、2FAには使える(登録できる)がpasskeyには使えない(登録できない)。
・YubiKeyにPIN設定している状態だと、2FAにもpasskeyにも使える(登録できる)が、両方同時に登録することはできない。PINはどちらの場合も要求される。 -
zunda (zundan@mastodon.zunda.ninja)'s status on Tuesday, 22-Oct-2024 20:49:59 JST
zunda
@omasanori なるほどなるほど!ありがとうございます!お手数をかけてしまってすみません!
全てのサービスでPasskeyの登録にPINを要求することが分かれば僕でも安心してYubiKeyをPasskeyに使えそうです。
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:50:00 JST
Masanori Ogino 𓀁
@zundan https://www.passkeycentral.org/introduction-to-passkeys/passkey-security#multi-factor-authentication にあるとおり、passkeyは多要素認証と認識しています。件の文章はメールによる二要素認証を2FAと書いて対比しているのでpasskeyが単要素認証のようにみえますが……。
-
zunda (zundan@mastodon.zunda.ninja)'s status on Tuesday, 22-Oct-2024 20:50:00 JST
zunda
@omasanori 僕には複雑すぎて試してすらいなくて申し訳ないのですが、指紋認証のないYubiKeyをPasskeyの認証器として登録することができるサービスが存在して、その場合にはYubiKeyをUSBポートに挿入してYubiKeyのボタンを押すだけで認証が成立しちゃいそうに僕には見えています…
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Tuesday, 22-Oct-2024 20:59:18 JST
Masanori Ogino 𓀁
@ikeji @tadd @zundan Amazonがナイーブにパスキーをパスワードの代替として実装しているので使い勝手がよくならないという話は確かによく聞きますね。
ikeji likes this. -
ikeji (ikeji@ostatus.ikeji.ma)'s status on Tuesday, 22-Oct-2024 20:59:59 JST
ikeji
@tadd @zundan @omasanori 選べるようにすると一方でUIが複雑になるし、難しいんだろうなって。 -
斎藤ただし (tadd@best-friends.chat)'s status on Tuesday, 22-Oct-2024 21:00:00 JST
斎藤ただし
@ikeji @zundan @omasanori なるほど、そのへんは選べた方がよさげ、というのは同意。
-
ikeji (ikeji@ostatus.ikeji.ma)'s status on Tuesday, 22-Oct-2024 21:00:09 JST
ikeji
@omasanori @tadd @zundan 自分も聞いた事あります。
-
All 076萌SNS content and data are available under the