Passkeys
FIDO と WebAuthn に準拠した認証方式
webauthn に加えて、アプリと認証デバイスとのコミュニケーションのための spec である CTAP などを含め、パスワードレスログインを実現するための仕様(FIDO2 ともよばれる)
FIDO2とは? CTAPなどWebAuthn関連の用語を解説 | Okta
複数の鍵を登録することで、マルチデバイスでのログインが可能
クラウドで鍵を同期させる事業者もある
Apple デバイス間では iCloud で鍵が同期される
Passkeys Overview - Apple Developer
You can even use your iPhone to sign in to apps and websites on non-Apple devices.
なぜこんなことができる?
スマホの鍵をつかって、PC で web アプリにログインが可能
このための spec が CTAP かな?
Passkeys.io – A Passkey Authentication Demo
https://developers.google.com/identity/fido?hl=en
https://fidoalliance.org/multi-device-fido-credentials/
Specifications - passkeys.dev
Android Developers Blog: Bringing passkeys to Android & Chrome
Bitwarden Passwordless.dev | Bitwarden
フィッシングは防げるはず
webauthn の範囲で対応している?
What makes FIDO and WebAuthn phishing resistant?
こういうのも防ぎやすくなるだろう
https://piyolog.hatenadiary.jp/entry/2024/02/10/003029
passkeys は 2FA である説明されるが違和感がある
デバイスに保存されている passkey を使うには生体認証やPINが必要というだけで、ログイン自体は passkey があれば十分なんだよね?
であれば、それを 2FA と呼ぶのは違和感があるが、そういうものなのだろうか?
passkey が盗まれるということをあまり想定していない気がする。もちろんパスワードよりリスクは低いが、クラウドで同期するなら lastpass のような事例はあるわけで、リスク0ではない。
その場合はクラウド同期なしで物理デバイス使えばよいが、それはそれで recovery の問題が生じる
2FA という言葉遣いは間違ってはいないらしい??
Passwordless multi-factor authentication requires an authenticator capable of user verification, and in some cases also discoverable credential capable.
Web Authentication: An API for accessing Public Key Credentials - Level 2
authenticato 自体を認証する仕組みがある。これと組み合わせるなら 2fa か
Web Authentication: An API for accessing Public Key Credentials - Level 2
Attestation
https://www.reddit.com/r/AskNetsec/comments/xi5ygh/comment/ip2nrfk/
パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
Web における Security, Safety, Trust の相対性 | blog.jxck.io
Passkey は二要素と言えるのか。