パスワードが問題です。 「強力な」パスワードは人間が覚えられない(ましてや何十個も覚えられない)というレベルに達しているだけでなく、単に必要なほど安全ではありません。パスキーは、公開暗号キーと秘密暗号キーのペアを、指紋や顔スキャンなどのローカル認証と組み合わせます。デバイスはその身元を疑いなく証明でき、ロックを解除できるのはあなただけであることが前提となっています。
それが機能するときは、パスキーは啓示のように感じられますが、ほとんどの場合はまだパスワード マネージャー内をいじっていると思いますし、パスワードは依然としてアクセスのロックを解除する主な方法です。では、パスキーがそれほど優れているのであれば、なぜ私たちは依然としてパスワードを持っているのでしょうか?
ほとんどのユーザーはまだパスキーが何なのかを知りません
私たちは見知らぬものを恐れます
これまでのところ最大の問題は、パスキーが単なるものであることだと思います 起こった。人々はインターネット上でビジネスを行っており、次回ログインしようとするときに、パスキーを使用するオプションが提供されます。この時点から何が起こるかは誰にも推測できません。 Web サイトの強引さにもよりますが、多くの人は「スキップ」またはその他の通常どおりログインできるものを選択するでしょう。
ただし、好奇心が強い (または不注意な) 場合は、そのパスキー オプションをタップすると、ほとんど説明がないままウサギの穴に落ちてしまう可能性があります。私はインターネット セキュリティとコンピュータについて書いて生計を立てていますが、サイトが提供する情報に基づいて「パスキー」が一体何なのかさえ理解できません。私がこれまでに遭遇した Web サイトは、大手企業であっても、その仕組みや使用する理由を簡単な言葉で適切に説明しているものは 1 つもありませんでした。手順を説明するだけで、あなたは自分のリスク プロファイルに適していない可能性のある新しいセキュリティ手法にコミットすることになります。
ウェブサイトは強制的な採用を恐れている
リスクは報酬に見合う価値があるでしょうか?
コインの裏返しは、Web サイトがいかに非コミット的であったかということです。パスキーを必須にする代わりに、それが別のオプションになっただけです。 2 要素認証を必須にしたり、「強力な」パスワードに関する最も非常識なルールを強制したりすることに関して、ウェブサイトはこれほど臆病ではなかったのに、一体何が起こっているのでしょうか?
これはおそらくパスキー システムの最大の弱点の 1 つを明らかにしていると思います。パスキーはローカルの秘密暗号化キーを保持する物理デバイスにリンクされているため、そのデバイスが何らかの理由で紛失または破損し、クラウド同期されたバックアップがない場合は、深刻な問題に陥ります。確かに、パスキーを備えた複数のデバイスを使用することはできますが、主要な認証方法が失敗した場合に安全にアクセスできるように、バックアップ システムが必要です。
しかし、何かをオプトインにする場合、ほとんどの人は最も抵抗の少ない道を選択し、単にすでに知っているシステムに固執するでしょう。
また、従来のパスワード システムがパスキーのバックアップとして存続する場合、パスキーによって本当に安全性が高まるのでしょうか?パスワード システムは、これまでと同様に攻撃ベクトルとして依然として存在します。パスキーによって得られる唯一のことは、摩擦がわずかに軽減されることですが、私はすでに指紋を使用してパスワードの自動入力を承認していましたが、パスキーは実際に実用的な違いをもたらしますか?
現実世界の摩擦により勢いが鈍化
人々はただそれを続けたいだけなのです
パスキーに関する私の日々の経験から、さらに悪いことがわかります。多くの場合、パスキーにはコードをタップしてパスワード フィールドを自動入力するよりもさらに面倒な作業が伴います。
iPhone に保存されているパスキーを使用するために QR コードをスキャンするのに非常に時間がかかることがあります。また、曲やダンス全体を通したとしても、パスキーが適切に機能するかどうかは保証されません。多くの場合、Web サイトは最後まで待って、パスキーが受け入れられないことを通知し、とにかく 2FA のパスワードに戻させます。
これが、私が複数のデバイスでパスキーを作成せざるを得なくなった理由の 1 つです。通常、デバイス上のパスキーが最も信頼性の高いログイン方法だからです。しかし、私は確かに、これほど多くのパスキーをさまざまなデバイスに残しておくことに快適さを感じません。
停滞している予測可能な理由
最も抵抗の少ない道
パスキーは正しい方向への一歩だと思いますが、その立ち上げと実行にはかなりの困難が伴いました。私は次の人たちと同じくらいパスワードを残したいと思っていますが、一般の人に何か新しいことに挑戦するか現状を維持するかの選択肢を与えると、彼らは使い慣れた快適なものを選択する傾向があることもわかっています。
サイバーセキュリティ業界がパスキーの大量採用を望んでいる場合、Web サイトはパスキーを積極的にマーケティングする必要があり、パスキーの相互運用性と使いやすさにはある程度の注意が必要です。パスワードは明らかにセキュリティにとってひどいものであり、さまざまな攻撃に対して脆弱ですが、現状ではパスキーを使用する人を説得する準備ができていません。肝心なのは、ユーザーがパスワードに代わるものを理解していなければ、代わりにパスワードを入力し続けることになるということです。