ritouです。
今日は26日ですが、Digital Identity技術勉強会 #iddance Advent Calendar 2024 13日目の記事です。
今回は、複数環境から利用するサービスに対して超積極的にパスキーを使っていくスタイルの紹介です。 みんながこれをすべきという話ではなく、こういう使い方をすると何が良くなるのか、逆に懸念はないのかと言うのを考えて貰えばそれで十分です。
パスキーは複数登録可能
今日、えーじさんがパスキーの現状、そしてユーザー、サービスそれぞれができることについて記事を書かれていました。自分の記事とは違って読みやすい文章です。
この記事では、この部分に注目します。
複数のパスキープロバイダにパスキーを作る
サービスによりますが、パスキーは本来、アカウントごとに複数作ることができるようにデザインされています。Google パスワードマネージャーと iCloud キーチェーンなど、複数のパスキープロバイダを跨いで複数のパスキーを作ることで、パスキーが見つからない場合のトラブルをだいぶ減らすことができます。誤ってパスキーを消してしまっても、他のパスキーを使って復旧することができます。
パスワードに代わるものと言われていることでイメージしにくいかもしれませんが、パスキーは複数登録可能です。導入サービスのほとんどがそうなっています。えーじさんの記事では選択肢を増やすことで”パスキーが見つからない"となる確率を下げるための"コツ"の一つとして紹介されています。
「パスキーが利用可能な環境であれば片っ端から登録する」と言う使い方
パスキー認証を導入していてパスキー認証以外の認証方式も利用可能なサービスにて「パスキーが見つからない 」となった際、以前から設定していた多要素認証を利用してログインすることになるでしょう。
今回紹介するのは「パスキー認証以外でログイン成功したら、そこでパスキーを登録して今後はパスキー認証を使っていく」と言うものです。
図にするとこんな感じですね。あんまり意味ないです。
ここで登録するパスキーの保存場所(パスワードマネージャー、パスキープロバイダ)は、その環境におけるデフォルトのもので十分です。
仮に利用可能なパスキーが存在する場合、登録時に「もう登録されとるぞ」って言われるかもしれません。それはそれで良かったと言うことですね。
期待できる効果
このお作法をすることにより期待できる効果は次のようになります。
- 一度利用した環境では次回以降パスキー認証が利用可能
- 最初に利用したのが「パスワード認証のみ」であれば、今後の「パスワード認証のみ」の試行回数を減らすことによる安全性の向上
- 最初に利用したのがパスワード認証+αの多要素認証であれば、今後の(パスキー認証による)フィッシング耐性の獲得と利便性の向上
この文脈ではあくまで副次的な効果として、モバイル端末のプラットフォームがデフォルトで提供するパスワードマネージャーを使うと、今後「クロスデバイス認証」を利用できるようになる、と言うのもあります。
パスキー登録をしまくって問題は起こらないのか
一番の懸念は、パスキーの登録可能な数に制限がんるとそれに引っ掛かるかもしれないと言う点です。 自分のところでは最大5個に設定してあって、これぐらいあれば大丈夫かなと言うところでしたが、サービスによって違うかもしれません。
どんどん新しい端末やブラウザでパスキーを登録したけど、ログインできる環境が増えることで今度はそれが悪用されないか心配、と言う考えを持つこともあるでしょう。その端末自体を掌握されてしまうとその可能性はありえますし、パスキー認証においてその部分は「ローカル認証で他のアプリなどと同様のレベルで守る」というのが前提になっているとも言えます。
とはいえ残っているのは気持ち悪いので、サービス側の管理機能から不要になったパスキーを削除/無効化するのが良いでしょう。そのパスキーでは今後ログインできなくなります。
OAuthが普及し、API提供側でやらかしが起こった時に「連携サービスを見直す」と言う習慣が少し出てきたと思います。 パスキー認証が普及してきたら定期的にこの辺りを見直す習慣についても広めていきたいですね。
パスキーを登録した端末が壊れてしまったらどうするのか
上述の通り副次的な効果はあるとして、基本的にはどんどん新しい端末でパスキーを使っていくというだけの話なので使えなくなった場合についてはなんとも言えません。(追記: パスキー認証でないとログインできない状態ではなく、パスキー以外の方法でもログインできることを前提としています。それはパスキー認証"自体"の話ではないので触れません) 紛失などの場合はサービス側の管理機能から削除/無効化しておきましょう。
サービスは推奨すべきか
これは「すべきではない」でしょう。
現在、パスキー認証をサポートするサービスが行っているパスキープロモーションの条件は「パスキーを登録していないユーザー」と言うものが多いかと思いますが、これを「この環境でパスキーを登録/利用していないユーザー」となるとユーザーに対する圧が強すぎます。
これを色んなサービスでやるのは大変!
それはそうですね。異論ありません。世の中のサービス全部にこれをやるとなると、ユーザーの負荷はとても大きいです。 そもそもこの使い方、パスキーがFIDOクレデンシャル/FIDO2クレデンシャル、パスキー認証がFIDO認証とか呼ばれていた頃のプラクティスと言えます。パスキーが同期されることで、このような毎度の登録が省略できるわけですが、えーじさんの記事にもあるとおりまだまだ同期できないケースはあります。そんな中で、自身でパスキー認証の頻度を上げるための取り組みといえます。
対象の選定で言うと、今回の方法が効果的となるのは次のような場合でしょう。
- 複数環境から利用するサービス
- 個別の環境毎でみた時に、ログインする機会の多いサービス(セッションが短い、決済などがあって再認証を要求される)
- ID連携のIdPをしているようなサービス
こんなサービスはそうそうなさそうですが自分の中で「このサービスだけはパスキー優先でいきたい」と言うのがあったらやってみても良いでしょう。
まとめ
あるサービスに対してパスキーを複数登録可能という特性に注目し、「使える環境では登録する」と言う利用スタイルを提案してみました。
多くのサービスはパスキー認証のみ利用可能にはなっていません。この状況はしばらく続くでしょう。 「自分のパスキーが同期していないが、パスキーが利用可能な環境であれば都度登録して使っていく」と言う利用方法により、なるべくパスキー認証の利用頻度を増やし、他の認証方式を使ってフィッシング被害に遭うことを減らす効果につながったら良いなと思います。
ではまた!
