𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗣𝗵𝗼𝗻𝗲, 𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗟𝗶𝗳𝗲
パスキーはパスワードの置き換えを目指しています。多くの企業がそれを求めています。データによると、組織の93%がWebAuthnベースのパスキーをテストしていますが、実際に導入(スケール)しているのはわずか13%に過ぎません。
エンジニアは完璧なログインに注力します。生体認証が数秒で完了するシステムを構築します。これが「ハッピーパス(正常系)」です。
しかし、業界は「アンハッピーパス(異常系)」という壁に突き当たります。それがデバイスのリカバリです。
パスキーは、セキュリティを「共有されるパスワード」から「ハードウェアに紐付けられた秘密鍵」へと移行させます。スマートフォンは生体認証を使用してこの鍵をアンロックします。センサーは、ライブスキャンと登録済みのテンプレートとの間の数学的な距離を計算します。一致がしきい値を超えれば、ハードウェアが鍵を放出します。
これが重大な問題を引き起こします。もし鍵が単一のデバイスにのみ存在する場合、そのデバイスを紛失することは、アイデンティティを失うことを意味します。
AppleやGoogleのような企業は、クラウド同期を利用してこれを解決しようとしています。しかし、これは開発者に複雑さをもたらします。高セキュリティなハードウェアキーか、使い勝手の良い同期済みキーかの選択を迫られるからです。
多くの開発者は、脆弱なメールによるリカバリでこれを解決しようとします。しかし、それではセキュリティが台無しになります。金庫の扉を作っておきながら、後ろの窓を開けっ放しにしているようなものです。メールのリンクは、暗号学的なパスキーほどの安全性はありません。
CaraCompでは、比較指標に焦点を当てています。認証にはプロフェッショナルなセーフティネットが必要だと私たちは考えています。周囲のアーキテクチャが脆弱であれば、優れたアルゴリズムも機能しません。
開発者の目標は、より優れた顔認証ではありません。正確な顔スキャンはすでに実現されています。目標は、より優れたリカバリプロトコルです。フィッシングのリスクに逆戻りすることなく、アカウントを復旧させる方法が必要です。
セキュリティにおけるあなたの評判は、エッジケースによって決まります。
あなたのパスワードレスシステムでは、アカウントのリカバリをどのように扱っていますか?安全でないメールによるリセットは避けていますか?
Optional learning community: https://t.me/GyaanSetuAi