現在のパスキーは単一障害点である

DRANK

パスキーは二要素認証をスキップGoogleやGitHubといった多くのサービスで、パスキーでの認証時に TOTP などの二要素認証をスキップします。パスキーは単一で安全な認証として扱われているからです。これは一見合理的に見えますが、現在のパスキー実装と組み合わさって、深刻なセキュリティホールを生んでいます。クラウド同期iCloud キーチェーン、Google パスワードマネージャー、1Password、Bitwarden——現在の主要なパスキー実装は、すべてクラウド同期を前提としています。そして、ローカルにのみ保存するオプションは存在しません。攻撃シナリオGitHub や Google などの重要なサービスプロバイダーで 2FA を有効化これらのサービスにパスキーを登録し、iCloud キーチェーンに保存サービスプロバイダーはパスキー使用時に 2FA をスキップする攻撃者が Apple アカウントを乗っ取るすべてのパスキーの秘密鍵が攻撃者のデバイスに同期される攻撃者は、あなたが設定した 2FA をスキップして全サービスにアクセス可能になるせっかく設定した二要素認証が、Appleアカウントという単一障害点によって無効化されます。根本原因WebAuthn の仕様で、サービスプロバイダーはクラウ…