- Passkey のみのログインを提供した場合、ユーザが Passkey を保存しているデバイスやサービスに入れなくなっても、サービスからはなんのサポートも出来ないと思います。それをメールによるリカバリを提供すると、結局メールのセキュリティに引っ張られるように思います。参考になるリカバリ提供の事例はあるでしょうか?
- 最初に Apple が提案した「共有できる FIDO2 Credentials」から、共有が必須でなくなったりしたと思います。結局今の「Passkey とは何か?」の定義ってどこに書かれているのが正なのでしょうか?
- パスキー利用のアンチパターンを紹介してください
- Passkey によってパスワードレス化が進むのかと思いますが、パスキーを保存する Apple や Google や 1Password のアカウントのパスワードレスはどうなるのでしょうか?
- discoverable と 同期はどのような関係がありますか。 Androidで discoverable でない場合に同期しないのは、なぜですか
- 「2.4 パスキーのよくある誤解を解く」に 「Webサイトで利用可能なパスキーがデバイス上に存在するかどうかを調べるAPIがプライバシーの懸念からできないことになっている」とは、どのような懸念でしょうか。
- エンプラにおけるパスキーの現在地はどう思われますか? Windowsはまだ同期パスキーに対応しないですし、シンクラや共有端末で使うのはハードルが高く、MacはPasswordsしか使えないのでManaged Apple IDを使わない限りシャドーIT化しますし・・・まだまだ業務で使うには厳しいのかな?と。
- パスキーとマイナンバーカードを使う認証はどう違いますか?
- パスキーと多要素認証の関係性について、どう理解するのが適切でしょうか?デバイスの所有+生体/記憶(PIN)なので実質2要素と言ってしまって良いのか、あまり多要素認証の枠でパスキーを語らないほうが良いのか……。仮に上記のように実質2要素と理解できたとしても、同期パスキーの場合にはまた違った理解になりそうだなと思ったり。
- AmazonでMFAの設定をしていると、パスキーを使う場合でもOTPが求められます。この場合のOTPは安全性の向上に寄与しているのでしょうか?
- パスキーを導入する際に、パスキーとは何かを一般コンシューマに説明することが難しいと思いますが、各社がヘルプページを充実するしか無いのでしょうか?
- アカウントリカバリですが、一つのRPに複数のPasskeyを登録できるようにしたり、複数のOAuth2/OIDCアカウントとリンクできるように実装すれば、解決策になりますか?
- パスワードマネージャーのアカウントがBANされるリスクとどう向き合うのがよい?
- WebAuthnAPIのエラーハンドリング周りの設計について、どんなエラーが発生してどんなユーザコミュニケーションをすべき、みたいなものはありますか?
- パスキー、ブラウザやパスキープロバイダによって実装している機能のレベルに非常にばらつきが多いですが、2025年4月現在、この機能位までは使って大丈夫、この機能を使うのはやめとけ、とかありますか?
- パスワードマネージャーに関してパスキーを使うにしても、どこまでユーザーに認識させた方が良いのか気になります。ブラウザのデフォルトで動いてる場合はパスワードマネージャーやパスキーという言葉自体知らなくても良いですし
- パスキーになってパスワードと違って問い合わせの複雑性が上がっていると思いますが、カスタマーサポートの対応の良い方法はありますか?
- 皆さんがパスキーを使ってるユーザーまたはサービスを攻撃したいとしたらどこを攻めますか?
- 国産のパスキープロバイダはありますか?
- Nintendo Switch(2) / PS5などにもパスキーはくる?
- 鍵に使う暗号強度が弱くなった際、強い暗号に変えるといったリプレース作業が発生すると思うが、そのあたり仕様として考慮されている?
- 現段階においてiosでdeviceboundなパスキーは作成できるのでしょうか。先程のエンタープライズの話で気になりました。
- ブラウザのパスワードマネージャーが比較的危ないのは、パスワード情報をローカルに保存することを前提としているからでしょうか?
- Wear OS / Apple Watchでもパスキーは使える?
- FIDO MDSv3に対応すべきだと思いますか?
- パスキーを使ってはいけない場面を知りたい
- 端末側でパスキーの利用を禁止(共有端末なので)はできる?
- パスキーをサイトに実装する際に、1Passwordのブラウザ拡張の挙動に苦労しました。 このようなキープロバイダーとそのブラウザ拡張ごとの挙動の違いって、事前に検証しようとすると大変だと思うんですが、どう取り組むことができるでしょうか?
- AIエージェントの利用が仮に今後増えてくるとすると、エージェント用のパスキーも必要になるかもしれませんが、人間以外が使うことを想定したパスキーも存在するのでしょうか
- 端末・アカウント共有の逆で、「個人が複数のアカウントを利用する」場合で、パスキーはどのように活用できるでしょうか?
- 漠然と同期することを危ないと思っているユーザーに対してどういう説明が良いと思いますか?ユーザーに詳しい説明をしても読んではくれないので何かしらわかりやすいメッセージが必要だと思いまして…
- AALのレベル感もフィッシング耐性に焦点を置くように変わっていくんですかね?
- パスキーのみにするとGoogle / Appleの審査が通せない問題はどうすれば。。。
- 特定のパスキープロバイダの利用を強制する(許可したもの以外登録させない)ことは、今の環境で可能ですか?
- パスワードが無くせない、というより、所有物、知識、生体等、手段を複数組み合わせられるようにしておく必要がある、という理解は正しいでしょうか?NISTのAuthenticator Recoveryはそんな考え方だった気がします
Created
March 24, 2025 15:43
-
-
Save ritou/b336889d3db58f314131e503751acd6e to your computer and use it in GitHub Desktop.
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment