『パスキーのすべて』輪読会 第1章1.5

Transcript

1. 『パスキーのすべて』輪読会 1章 パスキー導入が求められる背景 - 1.5 まとめ 吉野美那子

2. 1.5 まとめ - パスワード認証 - ❌パスワードの使い回し、フィッシングなどセキュリティ上の問題がある - ❌パスワードマネージャーを使えば解決するが、 Webサイト側からユーザーに強制できない -

   二要素認証 - ⭕セキュリティを大きく高める - ❌ログインまでのステップが増える - ❌リアルタイムフィッシングのリスクは残る - パスワードレス認証 - ⭕パスワードの問題を回避できる - ❌SIMスワップなど発生した場合、パスワードを挟まない分、アカウントを乗っ取りやすい - ❌二要素認証同様、ログインまでのステップが増える

3. Column 公開鍵暗号をざっくりと理解する - パスワード方式による認証 - 毎回パスワードをやり取りする - 通信を傍受されると認証が突破される - チャレンジ・レスポンス方式による認証

   - 毎回パスワードをやり取りしない - 通信を傍受されても認証が突破されない

4. Column 公開鍵暗号をざっくりと理解する - 公開鍵暗号方式による認証 - チャレンジ・レスポンス方式による認証の一種 - 素因数分解を利用した RSA暗号方式 -

   楕円曲線DSA（ECDSA）暗号方式 - パスキー認証でも公開鍵暗号方式のいずれかを利用する

5. 疑問点 - パスワード認証を使っているサービスにおいて、なるべくパスワードマネージャーを 使わせるようにUXで工夫できないか？ - 二要素認証のようにログインまでのステップが増えると、実際にユーザーが離脱する のか？ - サービス開発者はRSA暗号や楕円曲線暗号の仕様についてどの程度把握してお かなければならないのか？