みんなパスキーに期待しすぎている。MIXI伊東氏に聞く「認証のゴール地点」の考え方 | レバテックラボ(レバテックLAB)

2025-03-14

https://levtech.jp/media/article/interview/detail_632/

「パスキーだからこそ解決できる問題」に焦点を当てるならば、やはりフィッシング耐性がポイントになるのではないでしょうか。

なんというか、パスキーは漠然とした期待を背負わされすぎているようにも感じています。そもそも、どんな認証方式にもメリットとデメリット、リスクはあり、認証方式をパスキーのみにしても完璧なセキュリティが実現するわけではありません。あくまで解決すべき課題であるフィッシングの課題をクリアしたに過ぎないのです。

これはたしかにそうだよなー。パスキーは素晴らしいと思うけど、完璧ではないと思う。

伊東:残念ながら攻撃者とのいたちごっこは続きます。これは認証方式の歴史を見ても明らかです。

パスキーが普及すれば、今度はパスキーを管理するプラットフォームアカウントが攻撃対象になるかもしれません。また、現在はFIDOアライアンスが中心となり、プラットフォーム間でパスキーを共有するためのエクスポート/インポート機能を検討しています。つまり、秘密鍵をデバイスから抽出できるようになるということです。この機能を悪用して秘密鍵の受け渡しを要求するようなソーシャルネットワーキングと呼ばれる手口が現れる未来は容易に想像できます。

そう、まさにこういう手法とかもあるので、パスキー入れればOKって分けてもなく、考えていくべき事はあるだろうな。
もちろん、パスキーはこれまでより強固な認証手段であり、正当な進化だからそれ自体は素晴らしいことではある。