2023年夏のパスキーのいろいろな動き

このブログでもたびたび名前を挙げていた「パスキー」(2か月前と同じ導入)ですが、最近様々な動きがあり、インターネットニュースでも紹介されることが増えてきました。 気になるニュースを共有します。

パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 Yubikeyなどハードウェア認証デバイスでは保存できる鍵のスペースは20〜32個に限られているとのこと、しかも鍵情報は削除できなくなると。ということは複数のYubikeyを買って手元で管理する必要が出てくる、不便ですね。 スマートフォンを利用したパスキーはストレージ容量は緩いので、そこまで心配しなくてもよいとのこと。 X(twitter)で以前「パスキーは鍵ジャラジャラから解放されるわけではない」と指摘されたことがあります。人間が秘密の文字列を大量に覚えなくてよい代わりに、手元のハードウェアに秘密の文字列（非対称鍵）が保管されている、というのは頭の片隅に入れておいて良いのではないでしょうか。

WEB+DB PRESS Vol.136-実践投入パスキー この夏最終刊を迎えたWEB＋DB PRESSでもパスキーが特集されていました。人類のパスワードの歴史を紐解き、その問題点と、問題点を解決するべく（そして解決できなかった）生まれた過去の代替案、それと比べてパスキーが優れている点が紹介されています。いくらセキュリティ的に強固でも、不便で正しく用法を守って使われなければ逆にセキュリティホールになってしまいますからね。そしてパスキーを具体的に実装するコードや、Webサービスに導入する際のUIの注意点など、タイトル通り実践に投入する際に役立つ記事になっていました。

パスワードレス認証のセキュリティとユーザー体験のバランスの難しさ、実装のポイントとは WEB+DB PRESSと同じく、パスキーの前に生まれた技術（そもそもパスキーも突然変異の技術ではなく、過去の解決策であるWebAuthnを利用しているのですが）の問題点を語り、そのうえでパスキーの問題として「結局エンドユーザが利用してくれるのか」と提示しています。僕は従来と比べてのメリットを十分理解しており、積極活用していますが、新しいモノが受け入れられるのには時間がかかりますから。

「GitHub」でパスキー認証の一般提供が開始 ニンテンドーアカウントがパスキー対応　パスワード不要でログイン可能に 続々とパスキー認証に適応したサイトが増えてきています。パスキーはギークのおもちゃではなく、一般人にとって十分な利益を与える技術です。特に任天堂が対応したのは大きな一歩ですね。子供のころからパスキーに親しんでいれば、違和感なく世界に広がるのではないでしょうか。