ハードウェアにバインドされた同期可能なパスキーの専門家である Derek Hanson 氏は、FIDO Alliance と緊密に連携しており、最近では 2023 RSA カンファレンスでパスキーについて講演しました。
Hanson 氏は、TechRepublic の Karl Greenberg 氏に、デバイスに結び付けられてユーザーをロックしない YubiKey に保存されているようなハードウェアにバインドされたパスキーから、ベンダーが管理する共有可能なキーまで、パスキーの実装の範囲について話しました (図 A )。
図A
Karl Greenberg:ハードウェアにバインドされていないソフトウェアの共有可能なパスキーの場合、パスキーがデバイスから外に出ることができない YubiKey のような物理システムの使用例は何ですか?
デレク・ハンソン:これはすべての人にとって必要なものではありませんが、特に政府、金融サービス、ヘルスケア、そして著名人やインフルエンサーなどの知名度の高い消費者など、より脆弱な人々や企業にとっては重要な差別化要因となります。
Karl Greenberg:パスキーの開発において、Yubico はどのような役割を果たしてきましたか?
デレク・ハンソン:私たちの視点、そしてFIDOの観点から見ても、パスキーは検出可能なFIDO2認証情報です。この定義から見ると、私たちは約5年前からパスキーに取り組んでおり、その始まりはYubiKey 5シリーズの発売でした。パスキーに関して私たちが語っていること、そしてこのパスワードレス認証ソリューションに関して現在真に推進していることは、パスキーの動作原理を革新し、YubiKeyに保存されていた鍵マテリアルをソフトウェアで同期・管理できるようにすることです。これが真の根本的な変化であり、パスキーがどこに保存されるかが重要なのです。
Karl Greenberg:パスキーがハードウェアベースではなくソフトウェアベースになっているこの進化する分野において、YubiKey はどのような位置づけにあるのでしょうか?
デレク・ハンソン:私たちの視点からすると、非常に良好で健全なバランスが保たれており、セキュリティ要件の高いものから低いものまで、幅広いソリューションが揃っています。ユーザーがアプリケーションに同じ方法でサインインすれば、エコシステム全体が恩恵を受け、誰もがより一貫性のある、より良いユーザーエクスペリエンスを享受できるようになります。
カール・グリーンバーグ: YubiKeyは企業向けの高セキュリティソリューションだと考えています。消費者向けのユースケースはどのようなものですか?
デレク・ハンソン:多くのユーザーがYubiKeyを自分のサイトや個人のウェブサイトにアクセスするために使用しています。また、インフルエンサーや高リスクの状況にある個人の場合、アクセスを保護しているソーシャルメディアやメールサイトにアクセスするユーザーも多くいます。私たちはすべての消費者にYubiKeyを導入することを推奨しているわけではありませんが、セキュリティ意識が高く、個人的なリスクレベルが高いユーザーには、YubiKeyを導入することを推奨しています。私たちは、こうしたユーザーが、自ら管理し、より高いレベルの保証を提供するソリューションを導入できるようにしたいと考えています。
参照: 1Password がパスキーを有効にする方法(TechRepublic)
カール・グリーンバーグ:それは、物理デバイスに保存された共有不可能なパスキーを伴うシステムを常に必要とするのでしょうか?
参照:1Password の水晶玉:パスワードは不要!(TechRepublic)
デレク・ハンソン:そうです。それだけでなく、物理キーとサービスの連携も重要です。例えば、iCloudアカウントを保護するために物理キーを使っていることを確認しておく必要があります。そうすれば、誰かにスマートフォンを盗まれたとしても、アカウントに再度サインインできます。パスキーが物理キーに保存されていない場合、クラウドアカウント内に保存されます。つまり、クラウドアカウントをどうやって正しく保護するかというリスクがあります。そうでなければ、まるでシェルが入れ子になっているような状態になり、何をしても一番下にはパスワードが残ってしまうのです。
カール・グリーンバーグ:あなたの観点から見て、YubiKey が依然として高い需要があるパスキーの脆弱性とは何ですか?
デレク・ハンソン:物理キーは車のキーと変わりません。子供に車のキーを渡さない限り、子供は車を持ってどこかへ運転に行くことができません。共有可能なパスキーの場合、Appleがキーをコピーして家族のAppleデバイス全てに保存してしまうので、必ずしも私が望むようなコントロールができないことになります。
カール・グリーンバーグ:そうです、セキュリティと使いやすさの間に矛盾があるのです。
デレク・ハンソン:この流れを受けて、パスワードマネージャーに代わるパスキー管理が台頭してくると思います。FIDOアライアンスもこの取り組みについて議論を始めており、1Passwordのような企業もこの方向に進んでいます。結局のところ、すべてのキーをどうやって管理するのか?誰がアクセスできるのか?という問題に帰着するでしょう。Spotifyのパスキーに家族がアクセスするのは構いませんが、401(k)のパスキーとなると、おそらく無理でしょう。
参照:世界パスワードデーは終わり! (TechRepublic)
カール・グリーンバーグ:パスキーの急増によってどのような潜在的な問題が生じるのでしょうか?
デレク・ハンソン:一部のウェブサイトでは1種類のパスキーしか許可されず、別のウェブサイトでは異なる種類のパスキーしか許可されないなど、エコシステムは断片化されています。私たちは、このパスキーがクレジットカードのように、どこにいても同じように機能するようにしたいと考えています。
Karl Greenberg: 1 つの YubiKey にはいくつのパスキーを保存できますか?
デレク・ハンソン:現在のYubiKeyには25個のパスキーを保存できます。メールアカウント、1Passwordアカウント、Apple、Google、Microsoftアカウントへのアクセスを保護します。メールも保護し、複数のIDも保存できます。
カール・グリーンバーグ:フィッシング攻撃の蔓延、パスキーの出現、パスワードを超えた何かの必要性に対する意識の高まりによって、事態は好転しているのでしょうか?
デレク・ハンソン:パスキーへの意識は高まってきています。パスキー対応のサービスがますます増えており、今後5年以内に、市場におけるフィッシング可能な認証が劇的に減少すると確信しています。これはパスキーのおかげです。そのため、プラットフォームデバイス間で同期されたパスキーを使用するユーザーが出てくるでしょう。YubiKeyを使用するユーザーもいれば、アプリでパスキーを管理するユーザーもいるでしょう。
