[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

383users がブックマーク コメント 27

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

パスキーの安全性について - cockscomblog?

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント27

  • 注目コメント
  • 新着コメント
sgo2
取り敢えずTOTPはサーバ側がクライアントを検証してないのでバイパス攻撃に対し脆弱だけどパスキーは検証される、位の認識で良いかと。(ユーザが証明書を使いこなせばTOTPでも十分だろうけど非現実的)

その他
daruyanagi
"パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている"

その他
chikisio
パスキーなんてデバイスに認証情報を保存しといてどこが安全なんだろ..と訝しんでたけど、デバイスでの本人認証を原則要求する仕組みなのね。

その他
sora_h
基本的にUVが立たないことはないと思って良いはず

その他
hiromi_ayase
UV = false で認証される例の一つとして、AWSのMFA認証の中のWebAuthnがありますね。具体的にはChromeなどで生体認証なしでパスキー認証が走るダイアログが出てきます。

その他
ka-ka_xyz
どっちかというとクライアントサイドの方が気になる(ブラウザがOSを介してTPMへアクセスする時にマルウェアが関与する余地があるかどうかとか、端末側認証が生体認証だと認証の意思があるかどうか不安とか)

その他
otchy210
えー、知らんかった。パスキーを使うのに生体認証などの仕組みは必須要件かと思ってたわ。オプショナルだったとは。

その他
onionskin
想像以上に素晴らしい記事だった。

その他
NOV1975
パスキーの仕様にUVフラグがオフ、があるのであれば総体的に見て多要素認証とは言えない、ってなっちゃうかな。UVフラグって利用者は確認できるの?

その他
kagerouttepaso
認証のレベルアップをお題目に、鍵の管理権をユーザーから企業にしれっと移しているのがEVILなパスキー。

その他
hinaloe
MFAとかで要求するならhaveの2要素目になればいいからUV=false(物理キーのかわり)、まあわかる(パスマネのロック状態に連動するの使ってると存在にすら気付かないな)

その他
natu3kan
デバイスのロックを解除するパスワードや生体認証で本確とれたってデータがあれば本人だろうって見なせるもんなあ。ついでにデバイスもセキュアになるし。

その他
yarumato
"パスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証"

その他
chikisio
chikisio パスキーなんてデバイスに認証情報を保存しといてどこが安全なんだろ..と訝しんでたけど、デバイスでの本人認証を原則要求する仕組みなのね。

2025年07月09日 リンク

その他
hiromi_ayase
hiromi_ayase UV = false で認証される例の一つとして、AWSのMFA認証の中のWebAuthnがありますね。具体的にはChromeなどで生体認証なしでパスキー認証が走るダイアログが出てきます。

2025年07月08日 リンク

その他
hylom
パスキーは多要素認証とは独立した仕組みなので多要素認証が求められる場所ではちゃんと設計しないといけないのですがそれを認識できていない(認証に端末が使われるから二要素、的な勘違い等)ケースがあるんすよね

その他
ritou
「多要素ならOK」とサマられがちだが、もっと解像度を上げて「ある認証方式が単体でどこまで安全なのか、不正ログインのリスクがどれだけのもので、許容できるのか」まで考慮できるともっと深い理解が得られそう。

その他
Phenomenon
ところでUVフラグのチェックをサーバー側でやっているかどうかはみんなチェックしたほうがよい。MacのクラムシェルモードでUVを要求しているにもかかわらずUVが必須とならないバグ(仕様)が発見されている

その他
securecat
あとで読む

その他
oooooooo
UV = false なら SMS の MFA する、みたいなガイドラインがないと、現段階だと俺々パスキー MFA が跋扈しそう

その他
ckis
あ、よも。

その他
sora_h
sora_h 基本的にUVが立たないことはないと思って良いはず

2025年07月08日 リンク

その他
JULY
パソコンでのパスキー利用時に生体認証が使えない場合、Windows だと Windows Hello によって PIN 入力が要求される気がする。であれば something you know を満たせる。「何も問われない」ケースはあるのかなぁ。

その他
ya--mada
証明書ベースの認証と言えば済むような気がするのだが、足りんのか?多要素を求める要件って誰が求めてるんだろ?

その他
otchy210
otchy210 えー、知らんかった。パスキーを使うのに生体認証などの仕組みは必須要件かと思ってたわ。オプショナルだったとは。

2025年07月08日 リンク

その他
umaemong
利用者的には、パスキーは『適切に設定されたパスワードマネージャ』ぐらいの感覚。ドメイン検証のうえ、安全なパスワード(的なもの)の送信可否ダイアログを出してくれて、要生体認証。僕の手動より安全だと思う。

その他
onionskin
onionskin 想像以上に素晴らしい記事だった。

2025年07月08日 リンク

その他
misshiki
"パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている"

その他
ka-ka_xyz
ka-ka_xyz どっちかというとクライアントサイドの方が気になる(ブラウザがOSを介してTPMへアクセスする時にマルウェアが関与する余地があるかどうかとか、端末側認証が生体認証だと認証の意思があるかどうか不安とか)

2025年07月08日 リンク

その他
koseki
パスキー + TOTP の組み合わせを選びたい感じがする。 https://zenn.dev/ritou/articles/ac61682ee8ee01

その他
NOV1975
NOV1975 パスキーの仕様にUVフラグがオフ、があるのであれば総体的に見て多要素認証とは言えない、ってなっちゃうかな。UVフラグって利用者は確認できるの?

2025年07月08日 リンク

その他
honma200
"RP(認証するサービス側)はuserVerificationの値によって、パスキーの挙動を制御できる" 複数デバイス共有禁止とかできるってことだろうか?

その他
sgo2
sgo2 取り敢えずTOTPはサーバ側がクライアントを検証してないのでバイパス攻撃に対し脆弱だけどパスキーは検証される、位の認識で良いかと。(ユーザが証明書を使いこなせばTOTPでも十分だろうけど非現実的)

2025年07月08日 リンク

その他
daruyanagi
daruyanagi "パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている"

2025年07月08日 リンク

その他
yMehwish
343435

その他
mizdra
NIST SP 800-63B へー

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「パスキーの安全性...」が注目されています。

気持ちをシェアしよう

ツイートする

パスキーの安全性について - cockscomblog?

パスキーによる認証を開発したとき、パスキーの安全性をどう評価するのが妥当なのか検討していた。もち... パスキーによる認証を開発したとき、パスキーの安全性をどう評価するのが妥当なのか検討していた。もちろんフィッシング耐性が高いというような特性については把握していて、サービス利用者にとって便益の多い認証であることはわかっている。ただそれが、例えばパスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。これを一言に表すのはあまり簡単ではない。 パスキーは多要素認証なのか 多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証を言う語だ。 多要素認証は単一種類の要素による認証と較べて飛躍的に安全である。例えば、物理的な鍵は something you have であるが、それが盗まれてしまえば安全ではない。鍵が複数あっても、一度に盗まれてしまうかもし

ブックマークしたユーザー

  • libertine22025年09月28日 libertine2
  • dealforest2025年08月12日 dealforest
  • meerkat2025年07月20日 meerkat
  • aotya252025年07月16日 aotya25
  • kaokaopink2025年07月16日 kaokaopink
  • craf2025年07月15日 craf
  • yug12242025年07月12日 yug1224
  • sora05132025年07月12日 sora0513
  • creaism2025年07月11日 creaism
  • hush_in2025年07月11日 hush_in
  • lufiabb2025年07月10日 lufiabb
  • kagerouttepaso2025年07月10日 kagerouttepaso
  • wktk_msum2025年07月10日 wktk_msum
  • kamada-math2025年07月09日 kamada-math
  • trashcan2025年07月09日 trashcan
  • Itisango2025年07月09日 Itisango
  • rck102025年07月09日 rck10
  • esuji52025年07月09日 esuji5
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /