Aug 3, 2025

パスキー関連記事

グーグルが全Gmailユーザーにアカウントのアップグレードを推奨、その理由とは | Forbes JAPAN 公式サイト(フォーブス ジャパン) (07/08)

『パスキーでアカウントを強化しても、ユーザー側の行動が従来どおりでは効果が薄い。パスワード入力を求められても応じず、パスキーのみを使用すること。どうしてもパスキーが使えない場合は、SMSコードではなく認証アプリなど別形式の2FAを設定すべきだ。

パスキーはフィッシング耐性が高い。このためマイクロソフトはグーグルより一歩先を行き、ユーザーにパスワードの削除を促すとともに、自社の『Authenticator』アプリからもパスワード機能を撤廃し、今後はパスキー専用に切り替える方針を示している。

設定はここから直接行うことが可能で数秒で完了する。

今すぐパスキーを追加しよう。』

 

パスキーによるフィッシング耐性の向上 | Okta (05/22)

『パスキーを利用した認証、つまりFIDO認証の仕組みは、公開鍵、秘密鍵を利用したチャレンジレスポンスの仕組みに基づいています

従来のパスワードによる認証のように、クライアント側でパスワードを入力し、その内容をサーバー側に送信するのではなく、スマートフォンやセキュリティキーといった認証器を利用してクライアント側で認証し、その結果をサーバー側に送信するという仕組みです。

パスキーはフィッシング耐性があることで知られていますが、特筆すべきは、認証器はサーバーの識別子(ドメイン情報)に対して署名したものを送付し、サーバーはその署名を検証するという仕組みです。これにより、正規のドメインと異なるドメイン(例:偽のフィッシングサイト)では認証が成立しないようになっています。』

 

『実際に、アカウント復旧の手順を狙った攻撃事例は今も継続して発生しています。

 

理想的には、複数の認証器を事前に登録しておくことが求められます。例えば、スマートフォンが利用できない場合には、PCやセキュリティキーを利用して認証を行うといったケースです。

 

しかし、セキュリティキーを事前に配布しておくことは困難であったり、認証器を複数求めることが難しいケースも多いのが実情かもしれません。

 

そういった場合には、いかに精度高く、かつヘルプデスクの負担を少なく本人確認を実施するのかといった点が重要になってきます。』

 

パスキーの安全性について - cockscomblog? (07/08)

『パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている、ということを説明した。』

 

セキュリティホール memo - 2025.07 (07/09)

SSH で使いたくなってきた感。


関連

ここの「パスキー」関連記事検索


投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)