パスワードを忘れた? アカウント作成
15646500 story
Google

AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 62

ストーリー by headless
認証 部門より
Apple と Google、Microsoft は 5 日、FIDO Alliance と W3C が策定したパスワードレスサインイン標準のサポート拡大を共同でアナウンスした (プレスリリースThe Verge の記事Ars Technica の記事VenturBeat の記事)。

パスワードのみを使用する認証はウェブのセキュリティで最大の問題の一つであり、多数のパスワードを管理するのは消費者の負担が大きく、しばしば異なるサービスでのパスワード再利用につながる。標準ベースのパスワードレス認証ではデバイスのアンロック操作と同様に指紋や顔、PIN による簡単な確認処理を用い、レガシーな多要素認証よりも大幅に高いセキュリティを実現するという。3 社のプラットフォームではすでにパスワードレス認証が実装されているが、従来の実装ではデバイスごとにウェブサイトやアプリにそれぞれサインインするまでパスワードレス認証が利用できなかった。

今回のアナウンスでは各プラットフォームの実装を拡張し、よりシームレスでセキュアなパスワードレスサインインを実現する 2 つの新たな機能追加を以下の通り発表している。
  1. 新しいデバイスを含むユーザーが所有する多数のデバイス上で、各アカウントへの再エンロールを必要とすることなく、自分の FIDO サインイン情報 (パスキーとも呼ばれる) への自動的なアクセスを可能にする
  2. ユーザーがモバイルデバイスで FIDO 認証を用い、近くにあるデバイスで OS プラットフォームやブラウザーの種類にかかわらずアプリやウェブサイトにサインインできるようにする

これらの機能は来年 1 年をかけて利用可能になっていくとのこと。

5 月の第 1 木曜日は World Password Day であり、今年は 5 日がそれにあたる。そのため、Google と Microsoft は共同アナウンスと別にパスワードレス化への取り組みを発表している (The Keyword の記事Microsoft Security Blog の記事Azure Active Directory Identity Blog の記事)。

  • パスワードの文字数制限しているサイトの多い事。 まさか平文保存してある訳でもなし、30でも40字でも入れられるようにしといて欲しい。
    ここに返信
  • by Anonymous Coward on 2022年05月08日 12時19分 (#4245410)

    セキュリティ重視というよりは、本当の狙いが透けて見えるような気がする。
    こんなの規制すべきではないだろうか。

    ここに返信
    • by Anonymous Coward on 2022年05月08日 13時00分 (#4245428)

      まぁ、仕組みも含め調べもしない無知な人間だと「要は個人情報収集手段の3社共有化ね」と思うのも無理はないとは思ってます。

      あまり無知を公にさらさないほうが言いと思います。(どMならいいけど

      • by Anonymous Coward

        横からだけどそういうことだと思うよ・・・

        スマホに生体認証を保存して管理。(秘密鍵はgoogleやappleがクラウド管理)
        PCでWEBサイトにアクセスするときにスマホの生体情報を使った二段階認証をする。(秘密鍵はmicrosoftやappleがクラウド管理)
        スマホを紛失してもクラウドだから秘密鍵更新するから不正アクセスされず安心。
        もちろん各WEBサイトは三社が扱うAPIを通してログイン処理するから、そういう情報もわたる。

        こういうのって三社共有化するということじゃないのかな?

        • 誰も使ってないですがこのFIDOという仕組み自体は割と前からあって、まったくの新規開発ではないです。パスワードを暗号化して送る代わりに、初回は公開鍵認証で端末が持っている秘密鍵とサイトのペアリング動作のようなことを一回やり、以降そのペアリングされた認証機器(フリーソフトを書き込んだArduinoなりTouch IDなり)の操作でログイン承認ができるという仕組みです。

          この時、生体認証は認証機器側で認証トークンを送出して承認してよいという意思確認に使われる(使ってもよい)だけなので、手段は別に40bitのパスワード手打ちでも瞬間接着剤で固めてある承認ボタンの押下確認でもなんでも構いません。また、脅威モデルにはよりますが、認証機器は秘密鍵を工場で書き込んであっても構いませんし、内部のソフトの工夫でサイトごとに使い分けていても、全個体で同じ固定値を使い回していても規格上は構いません。

          Apple, Google, Microsoftが乗り出しているのは最近流行りの"物理信頼根"戦争も関わるでしょうし、確かにクラウドで個人情報を集めて儲けるという観点もあるでしょうが、割と{サイト名, ユーザID, パスワード}の組をユーザが覚えてくれないことに実務上の問題があるのではないかと思います。どうも"ユーザIDとパスワードは、組である"とか"パスワードは、教えてはいけない"くらいのことは分かる人が多いんですが、いざ会員登録とかログイン画面が提示されると、{サイト名, パスワード}とか{ユーザ名, パスワード}とか{サイト名, ユーザ名}とか、何とかして{公開情報, 認証情報}の2キーのペアで済ませようとする人が多いようなんですよね。あるいは、利用者の方では「われは、われである」としか思っておらず、ユーザIDという概念が分からないのかもしれませんが。

          # ユーザID入力欄に「メールアドレス」(! = String("ユーザID"))って書かれてるともうダメらしい

      • by Anonymous Coward

        逆に聞きたいんですが、
        顔や指紋ってオンリーワンのパーツですよね
        それ使ってサインインするなら、三者で鍵が共通ならば紐付けが容易になると解釈しても良いのではないでしょうか
        いくらそれらがデバイス内での保存で完結するとしても、Aさんの指紋=hogehogeのログインキーって紐付けられてる時点で個人の行動を追跡できますよね

        • by Anonymous Coward

          指紋情報はクラウドにもどこにも送信されないから名寄せは不可能だよ。

        • by Anonymous Coward

          まさに、それだな。
          複数デバイス持ちのユーザートラッキングが簡単になる。
          例えば、銀行アクセス用の端末と普段利用のデバイスを別けているユーザーとかね。
          あの3社が善意だけで行動する等、とても考えられないな。

      • by Anonymous Coward

        訳: 私も知らないので詳しい人はタダで詳しい情報を書いたコメントぶら下げてください

    • by Anonymous Coward on 2022年05月08日 17時12分 (#4245541)

      https://www.dds.co.jp/ja/topics/9736/ [dds.co.jp]
      面倒くさいから基本はこれよんでねなんだけど

      簡単に言えば従来は「パスワード」っていう秘密キーを各サービス毎に登録していた訳よ
      これからは、秘密鍵は手元に置いておいて公開鍵を各サービスに登録しておいて手元のFIDO認証キー(物理キーであったりスマホであったりWindowsPCだったり)から
      秘密鍵を使って署名を作って、サービス側に登録してある公開鍵で署名検証してログイン処理すんの

      なんかこれを勘違いしてる奴いるんだけどFIDOキーは紛失に備えて複数持っておくのが当たり前で別にサービス毎にFIDOキーと使い分けたっていい
      俺は私的キー(私的GoogleやTwitter、MS用)が4個(持ち歩き、自宅金庫、銀行貸金庫、実家)、仕事(副業)用キーが4個(持ち歩き、自宅金庫、銀行貸金庫、実家)で

      iPhoneとかAndroid、WindowsもFIDOキーの用に動作するパターンあるし自覚してないだけでFIDO認証は広まっていてこれから更に拡大するよってだけ
      公開鍵は別に個人情報とは紐付かないしアカウント特定に使われるだけでしかない

      わかったかのように話すの恥ずかしいからやめておきな

      • by Anonymous Coward

        パスワードが一元管理されるから捜査機関が吸出しやすくなるやつに見えてきた。FIDOキーは紛失に備えて複数持っておくのが当たり前とあるけど、このサービスでは紛失に備えてサーバー保管だろうし、そこではおそらく暗号化されているだろうけど本人以外の誰が復号できるかわかったものじゃない。

        • by Anonymous Coward

          パスワードで保護されているようなウェブサービスはホスト側に法的・不法的に侵入されたらどっちみちデータは全部抜かれることになるなので、そこまでパラノイアに取り憑かれておられるのならオンラインサービスなどすべて使用拒否した方がいいよ。

        • by Anonymous Coward

          パスワードが一元管理というか
          認証キーを証拠品として押収した上で使って良いのかどうか?はまた別な問題だと思うよ
          多分日本だと通るけど指紋認証必要なタイプだとアメリカとかだと微妙な気がする

          このサービスもFIDO認証使うっていってるんだから同じだよ
          BTで端末間の移動しやすさとかを実装していくっていうだけ
          尚且つ、耐タンパ性とかiPhoneのセキュリティチップの実装とか調べてこいTPMが何なのかとかそう言う部分を調べてこい

          っていうか、現状のアカウント情報の方が余程簡単に抜き出せるわ

          • by Anonymous Coward

            > 且つ、耐タンパ性とかiPhoneのセキュリティチップの実装とか調べてこいTPMが何なのかとかそう言う部分を調べてこい

            こういう謎の上から目線コメント見るたびに

            対ダンパ性とか知らないのであればあの語らないでください
            HSMがなんなのかも分かってなさそうなので・・・

            って知ったかぶってたアホ [srad.jp]思い出して笑ってしまう

    • by Anonymous Coward

      どこを縦読みしたらそうなるんだろう……
      斜に構えすぎて認知おかしくなってんね

    • by Anonymous Coward

      加えて本人がログイン失敗したらアカウント永久凍結で人間の対応する受付がないっていうね
      こっちも規制したほうがいい

  • by Anonymous Coward on 2022年05月08日 13時54分 (#4245449)

    でもMicrosoftアカウント必須なんでしょ?

    ここに返信
    • by Anonymous Coward

      appleやgoogleも紐づいているアカウント必須にするでしょ。
      何をそんなに忌避したいのかわからん。

      • by Anonymous Coward

        あまりにも予想通りのコメントすぎて草生える。誰もスマホの話などしてない

        • by Anonymous Coward

          お前がMSに殺されたのかはしらんので詳しく書け。
          言いがかりにしか見えない。

    • by Anonymous Coward

      MacOS:事実上AppleIDないと使えない
      ChromeBook:Googleアカウントないと使えない
      Windows:MSアカウント必須かを目指している

      なんでWindowsでだけどうこう言うのかがわからない

      • by Anonymous Coward

        まだ無事な領域だから。
        他のプラットフォームはもう諦められてる状態。

      • by Anonymous Coward

        まっさきにお漏らししそうなのがApple

        • by Anonymous Coward

          ま、GoogleもMicrosoftも既にやらかしてるからね。
          Appleはソーシャルハック(=リテラシーの低いユーザの問題)以外での漏洩はない。

  • by Anonymous Coward on 2022年05月08日 16時25分 (#4245513)

    スマホ忘れると色々と困るから職場にもそういう用途に使えるデバイスを置きたい。
    けどそういうことができるものを自分の管理下にない場所にあまり置きたくない。
    うーん。

    ここに返信
  • by Anonymous Coward on 2022年05月08日 17時10分 (#4245540)

    Windows Helloみたいなものは当然に禁止、ブラウザのパスワード記憶すら無効化して、
    毎度毎度英数記号入りの長いパスワードを打ち込ませることが「セキュリティ」と考えているのであった。

    ここに返信
    • by Anonymous Coward

      そしてモニタやキーボードに当たり前のように貼ってあるパスワードの付箋・・・

  • by Anonymous Coward on 2022年05月08日 18時24分 (#4245569)

    勝手な思い込みの仕様で話し始める人って大丈夫なの?
    騙されやすそうって感想しかないコメントばかりなんだけどさ

    iPhoneのセキュリティもパスコードの入力がないとアクセス出来ないし
    アクセス出来たらFaceIDとか使えるようになるでしょ
    ああいうセキュリティチップだけの機能を取り出した物がFIDOキーで物理キーだったり論理キーだったりする
    中に入っている認証局を使えるようにするのにそう言う処理が必要で耐タンパ性とかそういった物を保証されているんだけど
    そういった物を一切合切調べないで「名寄せに使うに違いない!」とか最早陰謀論者とか反ワクチンと同じレベルでしかなくって
    人間って知識がないと知能レベルも低下するんだなって例が多い

    ここに返信
    • by Anonymous Coward

      srad三大嫌われものだからいくらdisっても許される空気になってるのよね。
      いっそ俺たちはコイツラに一切関わらない世界に行くんだ!という意気込みを述べてほしい。LinuxにVivaldiにduckduckgoという組み合わせが幸せになるかは知らんが。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...