1Password、パスワードを不要にする計画 34
ストーリー by headless
1 部門より
1 部門より
1Password がパスワードを作成することなく、パスキーでアカウントへのアクセスを可能にする計画を発表した
(1Password のブログ記事、
解説記事、
The Verge の記事、
Neowin の記事、
Ghacks の記事)。
1Password では既に生体認証を用いたパスワードレスのアカウントアクセスが可能となっているが、アカウントの保護には依然としてパスワードが使われており、生体認証はそれを隠すだけだという。パスキー認証は 1Password が従来から使用している秘密鍵と同じく公開鍵暗号方式だが、パスワードを組み合わせることなく、生体認証とデバイスのセキュリティ機能との組み合わせでアカウントを保護する。パスキーはフィッシング攻撃に強く、秘密鍵のエントロピー (128 ビット) よりも強力な 256 ビットのエントロピーでクラッキングを防ぐとのこと。
これにより、パスワードも秘密鍵も作成することなく 1Password のアカウントを作成でき、新しいデバイスで容易にサインインできるようになる。また、ウェブを含めて 1Password を使用する場所ではどこでも組み込みの生体認証が利用でき、スマートフォンで Mac や PC、ブラウザー内の 1Password をアンロックできるという。パスキーを用いるアカウント作成やアンロックのオプションは今夏から利用可能になるとのことだ。
1Password では既に生体認証を用いたパスワードレスのアカウントアクセスが可能となっているが、アカウントの保護には依然としてパスワードが使われており、生体認証はそれを隠すだけだという。パスキー認証は 1Password が従来から使用している秘密鍵と同じく公開鍵暗号方式だが、パスワードを組み合わせることなく、生体認証とデバイスのセキュリティ機能との組み合わせでアカウントを保護する。パスキーはフィッシング攻撃に強く、秘密鍵のエントロピー (128 ビット) よりも強力な 256 ビットのエントロピーでクラッキングを防ぐとのこと。
これにより、パスワードも秘密鍵も作成することなく 1Password のアカウントを作成でき、新しいデバイスで容易にサインインできるようになる。また、ウェブを含めて 1Password を使用する場所ではどこでも組み込みの生体認証が利用でき、スマートフォンで Mac や PC、ブラウザー内の 1Password をアンロックできるという。パスキーを用いるアカウント作成やアンロックのオプションは今夏から利用可能になるとのことだ。
生体認証は止めてくれ (スコア:2, おもしろおかしい)
生体認証は止めてほしい
資産家なので指を切り落とされたり、目をくり抜かれたりするのは嫌だ
リセットするのに整形手術したりしなければならないのも面倒だ
Re:生体認証は止めてくれ (スコア:1)
切断された指ではiPhone 5sの指紋認証は突破できない [gigazine.net]って言われてたのに、実際はiPhoneの指紋認証を「ゼラチン指」で突破できる [impress.co.jp]って知られちゃったもんねぇ
スマホのメールとSMSだけ読めれば大抵のオンライン金融セキュリティは突破できる
Re:生体認証は止めてくれ (スコア:1)
銀行はメールとSMSだけじゃ大半が無理じゃね。
Re: (スコア:0)
暗証番号が必要だな
推測するかパスワードマネージャから見つけ出すか
Re: (スコア:0)
別に強要されてないでしょう
嫌なら使わなければいいんですからお好みのものを選びましょうよ
# 職場の仕様なら稟議を通せばよろしい
Re: (スコア:0)
主流になると困るってことでしょうねえ。
資産家じゃないですけど、強盗はまずスマホを奪い指をもぐ、みたいなスキームが作られると困ります。
Re: (スコア:0)
そういえば最近のフィリピン/ルフィがらみの事件だか類似の事件で、襲われた資産家が指を切断されていたという報道があったな(ゾゾゾゾゾッ
#マジでヤバイ未来が見えるぞ
Re: (スコア:0)
そういう血なまぐさい(?)話は別として、生体認証情報が漏洩したらどうすれば良いのだろう
言わば究極の個人情報がダダ漏れになって、その後は安心して生体認証を使えない体になってしまうのか?
顔は比較的気軽に美容整形できるとして、指紋・掌紋や虹彩はどうすればよい?
足も含めれば指は20本もあるので、指紋に関してはあまり心配する必要はないのかな.....
(やおら靴と靴下を脱いでノートPCの指紋センサを踏みつける光景が目に浮かぶ)
Re:生体認証は止めてくれ (スコア:1)
生体認証の情報は、数値化されてデバイス内で保持されるもので、サーバ側に生体情報そのものが保存されているわけじゃなく、おそらくデバイスごとに値も違うので、ご心配のようなことには現実にはならないですよ。
Re:生体認証は止めてくれ (スコア:1)
虹彩認証はまともなものなら血流もチェックしている(本来の「生体」認証はこのように対象が「生きている」ことも条件に入ってる)ので、抉り取った後再移植可能な環境に保存し、その後適切な血流再現装置に繋がないと使えない。(もしクラックするなら隠しカメラで虹彩の動画像撮った上で、充分な精細度を持つディスプレイで再現する方が実現性高いんじゃね?)
まぁこのこと知らないで抉り取っていくバカがいるのは目に見えているから危険なことに変わり無いけど。
ちな銀行の指認証も静脈血チェックしてるので、寒さとかで血流が悪くなったりするとエラーが起きる可能性ある。
ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
Re: (スコア:0)
そうなる前に要求を飲めばいいじゃないの。
素直に吐かないから、拷問したり、嫁や子供を人質にしたり、殺して指を切り落とさないといけなくなる。
Re:生体認証は止めてくれ (スコア:1)
すぐ要求を呑む奴は用済みになったら消される可能性が高いぞ。
ソースは時代劇専門チャンネル。
Re: (スコア:0)
どっちにしろ消されるなら苦しまずに逝かせてくれ。
Re: (スコア:0)
ルフィ「逝かせてやるから金を出せ」
Re: (スコア:0)
変更できるものでもないから、一度突破方法を発見されたら対策取れるまでサービス停止するしかない気がする
2段階認証もだけど、一つの手段で慢心するのは危険だよね
これがないと長いPW管理できない (スコア:2)
その一方で単一サービスにパスワード全部掴まれちゃうのはかなり大きいリスクだよね
そういえば、しばらく前から検索ボックスの仕様が「リストのフィルタリング」から「フィルタリングされたドロップダウンリストの表示(表示上限あり)」になってて不便なんだけど、こういうUI他で見たことないな
OSXでもブラウザとの連携微妙な感じになってるし、替え時かしら?
Re: (スコア:0)
その一方で単一サービスにパスワード全部掴まれちゃうのはかなり大きいリスクだよね
どんなリスクを想定されているんでしょうか?
サービス提供元から漏洩した際に複合化されてしまうリスク?
それともサービス提供元が無くなって、データが消失するリスク?
Re: (スコア:0)
そいうのはe2eで暗号化されててサービス側でも復号は無理ちゃうんか
Re: (スコア:0)
その2つのeが何を指しているのか説明してくれ。
「どの端末で復号するか」を特定せずにe2e暗号化って可能なのか?
Re: (スコア:0)
たとえば1password自体に邪悪なアップデートが仕込まれて丸ごとデータを抜かれる危険性、とか?
あり得ないとは言い切れないが(これが起きればE2E暗号化も無力)、
・彼らも生活をかけてそんなことが起きないように頑張っているはずだという信頼
・アプリケーション自体の利便性
・コピペ禁止設定をかけている愚かなWebサイト対策として「Type in Window」機能がとにかく便利
があるので長らく利用してるしこの先も使い続けるだろうと思う。
GoogleやAppleのやつとは違うの? (スコア:0)
https://www.watch.impress.co.jp/docs/topic/1457233.html [impress.co.jp]
パスワードパスキーパスコードPINコード (スコア:0)
言い換えてるだけやん
Re: (スコア:0)
一般的にパスワードは what you know ですが、PINは what you know + what you have なので異なる概念ですよ
Re: (スコア:0)
やることいっしょやん
Re: (スコア:0)
やることはいっしょだよ
でも認証情報(パスキー)の保存される場所がサーバー側→クライアント側に変わるよ
だから安全だよ
Re: (スコア:0)
でも結局複数端末での同期が面倒くさいからほとんどの人はクラウド同期でサーバに保存することになりそう
Re: (スコア:0)
え?1Passwordってクラウド同期でサーバに保存するサービスで、この件はそのクラウドにアクセスするための認証で内部的にもパスワードを使わなくするって話では?
端末ごとに認証登録は必要だけど、端末ごとに一度登録すればいいだけなので「同期が面倒くさい」なんてことは起こらないと思うんだけど。
Re: (スコア:0)
別端末使うとやり直し
Re: (スコア:0)
端末を増やすときは作業があるけど
端末が複数でも登録した端末では登録は1度だけ。
Re: (スコア:0)
それって「クラウド同期でサーバに保存」すれば不要になるとでも思ってる?
Re: (スコア:0)
やることは同じだけどより安全になる(他のデバイスで同じ入力をしても通らない)から結果は同じじゃない
Re: (スコア:0)
付箋紙か手帳のメモ見て入力
Re: (スコア:0)
付箋紙はちゃんとディスプレイに貼ったままにしておいてね