ritouです。
パスキーって多要素認証なの?って言う疑問を持たれる方がいます。
それに対して「パスキーにアクセスできる環境にあること=所有情報による認証、(端末のロック解除の仕組みやパスワードマネージャーのアンロック機能による)知識情報 or 生体情報による認証と組み合わせられるので多要素認証となります」 と答えています。
この記事で言いたいことは、その疑問がどこから来たのか、つまり「⚪︎⚪︎⚪︎だから違うんじゃないの?」と言う部分はいくつかありそうだよね、と言うことぐらいです。
すごいシンプルなところで言うと
「生体認証だけでログインできるのね。ってことは多要素認証じゃないのでは!?」
これ、パスキーとはみたいな記事から初見で感じる疑問として多い気がします。「生体認証のみで」といったキーワード、さらに実際にパスワードが送られるパスワード認証よりも所持情報による認証の部分が目に見えないことからこのような考えになるのかもと言うところです。
次、koiwaiさんが書かれていた記事の中から引用させていただきます。
パスキーで未だにピンと来ていないのは、2要素認証とはいうが生体認証(とか)はパスキーを管理するパスワードマネージャーの機能だから認証サーバーには1要素しか見えない気がすることだ。 これって2要素認証に含めていいものなんだっけ(?)
「サーバー側が秘密鍵により生成された署名を正しく検証することで所持要素の検証は可能、だが生体云々の部分はわからないのでは?」と言う考えですね。これに対しては「フラグでUserVerificationが行われていることを検証できる仕組みだよ」と言うリプライが送られており、koiwaiさんの記事では「UserVerificationが本当に行われるのか、行われたことを厳密に確認できるかどうか」についてさらに深い説明がされています。詳しくないので多要素とは言えないと感じてしまうのは想像しやすいですが、詳しく知ったら知ったで厳密には多要素とならないケースも...となってしまうのは興味深い事案です。
他にはこんなのもありますね。
FIDOの頃にセキュリティキー使ったことがある人から、PINとか使わなかったら所持情報だけだよね。多要素になるの?と聞かれたことがあります。当然ながら多要素認証として使われないケースもありますよと、これも一つの観点でしょう。
他にも何かあった気がしますが、忘れてしまいました。もしこの記事を読んでいただいて自分も納得いってないところがある!と言う方がいらっしゃいましたら、マシュマロにパスキーでログインしつつ質問いただければと思います。
今回の多要素認証かどうかについては、一般ユーザーの前の開発者向けの啓発フェーズで周知すべき内容といえます。開発者が疑問をもったままでは導入が進まないのは目に見えています。一つ一つの疑問に対して真摯に説明していく必要があります。その際、ある疑問を想定する際にはその裏にある考えが1つとは限らないことを意識し、必要ならば「"こうだと思うんだけど"、実際どうなの?」といった粒度で疑問を分解しつつそれに回答していく必要があるでしょう。
ではまた。