この記事はReplay.fm Advent Calendarの21日目の記事です。
今日紹介する記事は『Mercari's Phishing-Resistant Accounts with Passkey』です。
メルカリのユーザアカウントのフィッシング耐性の概観についての記事です。使ってる人も多いと思うので改めて細かく紹介しなくてもいいかなーとは思うのですが、特に注目したいのはセルフサービスでのアカウントリカバリの部分で、マイナンバーカードを用いてアカウントのリカバリができる点です。
まず、アカウント保護のシステムにおいてどこまでいってもアカウントリカバリが弱点であり続けるという問題があってPhishing-resistantな認証方式だけをサポートするようになってもCSへの問い合わせ経由でのアカウントリカバリがPhishing-resistantでなければそこがWeakest linkになってしまいます。内部情報ではなく一般論として、Weakest linkなのは当然サービス運営側もわかっているわけでこのプロセス自体を強固にしたい動機があり、ユーザ視点ではとても煩わしい手順を強いられることになる、みたいなトレードオフもそこにはあります。
そこに対して所有率が実用に耐えるレベルになってきたマイナンバーカードを用いた本人情報の確認を通じてセルフサービスでリカバリができるよ、というのは認証の強度も落とさず、より少ない手間で、さらに短時間でアカウントリカバリができる画期的な方法なわけです。
「これ早く出ないかなー」と思ってたらいつの間にか出ていてちょっと嬉しくなった、そんな記事でした。