Just like password managers do with passwords, the underlying OS platform will “sync” the cryptographic keys that belong to a FIDO credential from device to device. This means that the security and availability of a user’s synced credential depends on the security of the underlying OS platform’s (Google’s, Apple’s, Microsoft’s, etc.) authentication mechanism for their online accounts, and on the
要は個人情報収集手段の3社共有化ね (スコア:0)
セキュリティ重視というよりは、本当の狙いが透けて見えるような気がする。
こんなの規制すべきではないだろうか。
Re:生体認証もサポートしてくれりゃ (スコア:1)
まぁ、仕組みも含め調べもしない無知な人間だと「要は個人情報収集手段の3社共有化ね」と思うのも無理はないとは思ってます。
が
あまり無知を公にさらさないほうが言いと思います。(どMならいいけど
Re: (スコア:0)
横からだけどそういうことだと思うよ・・・
スマホに生体認証を保存して管理。(秘密鍵はgoogleやappleがクラウド管理)
PCでWEBサイトにアクセスするときにスマホの生体情報を使った二段階認証をする。(秘密鍵はmicrosoftやappleがクラウド管理)
スマホを紛失してもクラウドだから秘密鍵更新するから不正アクセスされず安心。
もちろん各WEBサイトは三社が扱うAPIを通してログイン処理するから、そういう情報もわたる。
こういうのって三社共有化するということじゃないのかな?
Re:生体認証もサポートしてくれりゃ (スコア:-1)
FIDOでは秘密鍵が保存されているのはクライアントデバイス側なんだよなーーーーーーーーーーーーーーーーーーーー
池沼ーーーーーーーーーーーーーーーーーーーー
Re: (スコア:0)
こういう報道も出てる。再設定不要ですぐに利用を再開できるのだから、これは秘密鍵がクラウド側にないとできないと思う。
標準規格ではクライアント管理とされていても、(スマホのデータはクラウドに同期されるから)実際の運用ではクラウドということになるんじゃないの?
> スマートフォンを紛失したり壊したり盗まれたりした場合でも、パスキーはクラウドバックアップから
> 新しいスマートフォンに同期されるため、再設定不要で、すぐに利用を再開できるとしている。
https://news.yahoo.co.jp/articles/5e6d8df890620198c4ad8c21b89d8075a485ffa6 [yahoo.co.jp]
Re: (スコア:0)
クラウド側に秘密鍵がなくても同期でき、利用再開もできる。
ものすごく簡単に言うと「スマホの中に認証サーバがある」のが特徴で、そこに秘密鍵が入っている。
ユーザーが指紋を読み取ったときスマホの中で認証されるけど、
その本人を特定するためのハッシュ情報(パスキー)がクラウド同期される。
他人がパスキーを盗んだとしても、
本人の指紋が無ければスマホ内で認証が通らないからログインできない。
Re: (スコア:0)
ハッシュ情報しかバックアップされていないのに端末故障しても復旧できるメカニズムが分からないな
Re: (スコア:0)
ユーザーがパスワード覚えてればローカル側で復旧できるみたいな話じゃないかな。
サーバレスみたいな。
Re: (スコア:0)
ああいまどき普通の人はスマホもパソコンも複数台もってるからだいじょうぶでしょみたいな。
Re:生体認証もサポートしてくれりゃ (スコア:2)
そのパスワードを生体認証装置で都度生成すればいいんじゃないでしょうか。つまり、Aさんの右人差し指を認証装置一号で撮影すると必ず常に絶対0x1234...5678が返ってきて、更にその他人受入率は一億万ぶんの1である、とすると、その0x1234...5678はパスワードとして使えるでしょう。
Re: (スコア:0)
使えない。常に右手に手袋している人ならともかく。
Re:生体認証もサポートしてくれりゃ (スコア:1)
// などと言われたらちょっとヒく
Re: (スコア:0)
どうして二次ソースを(誤ったことを書いていないと)信用してプレスリリースを読まないの?
クラウドバックアップなんて一言も書いていないよ?
少なくとも、疑問に思った事を調べもしないで結論を出すのはやめるべきだね。
生体情報の取り扱い方法は公開されていて、例えばAppleで生体認証といえば TouchID(指紋認証) [apple.com]、FaceID(顔パス) [apple.com]だけど、
どちらにも生体情報から生成された情報をクラウドにはバックアップしないと明記されている。
記者が誤っているか企業が嘘をついている可能性があるわけで、記事の内容を鵜吞みにできないのはわかるはず。
で、プレスリリースを辿
Re: (スコア:0)
全然わかってないじゃん。
従来の認証システムはパスワードという名の秘密鍵をWEBサイトごとに生成していた。
パスキーの認証システムはひとつの秘密鍵を生成するだけで済ますというもの。ひとつで済ます部分をうまくやってるだけ。
本質的にはどっちも同じで、秘密鍵を紛失したらログインできなくなる。
Re: Re:生体認証もサポートしてくれりゃ (スコア:2)
まず秘密鍵の意味を調べましょう。
そして今回のmulti-device FIDO credentialsはまさに「秘密鍵を紛失したらログインできなくなる」というリスクを減らすための取り組みです。
Re: (スコア:0)
ホワイトペーパー [fidoalliance.org]によると既存のパスワード方式と同様に秘密鍵はOSプラットフォームよって同期されて、そのセキュリティはOSプラットフォーム依存とある。≒クラウド管理だ。
Just like password managers do with passwords, the underlying OS platform will “sync”
the cryptographic keys that belong to a FIDO credential from device to device. This means that the security
and availability of a user’s synced credential depends on the security of the underlying OS platform’s
(Google’s, Apple’s, Microsoft’s, etc.) authentication mechanism for their online accounts, and on the
Re: (スコア:0)
> そのセキュリティはOSプラットフォーム依存とある。≒クラウド管理だ。
飛躍だろさすがに