パスワードを忘れた? アカウント作成
16500397 story
暗号

1Password、パスワードを不要にする計画 34

ストーリー by headless
1 部門より
1Password がパスワードを作成することなく、パスキーでアカウントへのアクセスを可能にする計画を発表した (1Password のブログ記事解説記事The Verge の記事Neowin の記事Ghacks の記事)。

1Password では既に生体認証を用いたパスワードレスのアカウントアクセスが可能となっているが、アカウントの保護には依然としてパスワードが使われており、生体認証はそれを隠すだけだという。パスキー認証は 1Password が従来から使用している秘密鍵と同じく公開鍵暗号方式だが、パスワードを組み合わせることなく、生体認証とデバイスのセキュリティ機能との組み合わせでアカウントを保護する。パスキーはフィッシング攻撃に強く、秘密鍵のエントロピー (128 ビット) よりも強力な 256 ビットのエントロピーでクラッキングを防ぐとのこと。

これにより、パスワードも秘密鍵も作成することなく 1Password のアカウントを作成でき、新しいデバイスで容易にサインインできるようになる。また、ウェブを含めて 1Password を使用する場所ではどこでも組み込みの生体認証が利用でき、スマートフォンで Mac や PC、ブラウザー内の 1Password をアンロックできるという。パスキーを用いるアカウント作成やアンロックのオプションは今夏から利用可能になるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 生体認証は止めてくれ (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2023年02月12日 21時15分 (#4409629)

    生体認証は止めてほしい
    資産家なので指を切り落とされたり、目をくり抜かれたりするのは嫌だ
    リセットするのに整形手術したりしなければならないのも面倒だ

    • by Anonymous Coward on 2023年02月13日 8時19分 (#4409700)

      切断された指ではiPhone 5sの指紋認証は突破できない [gigazine.net]って言われてたのに、実際はiPhoneの指紋認証を「ゼラチン指」で突破できる [impress.co.jp]って知られちゃったもんねぇ
      スマホのメールとSMSだけ読めれば大抵のオンライン金融セキュリティは突破できる

      親コメント
    • by Anonymous Coward

      別に強要されてないでしょう
      嫌なら使わなければいいんですからお好みのものを選びましょうよ

      # 職場の仕様なら稟議を通せばよろしい

      • by Anonymous Coward

        主流になると困るってことでしょうねえ。
        資産家じゃないですけど、強盗はまずスマホを奪い指をもぐ、みたいなスキームが作られると困ります。

        • by Anonymous Coward

          そういえば最近のフィリピン/ルフィがらみの事件だか類似の事件で、襲われた資産家が指を切断されていたという報道があったな(ゾゾゾゾゾッ
          #マジでヤバイ未来が見えるぞ

        • by Anonymous Coward

          そういう血なまぐさい(?)話は別として、生体認証情報が漏洩したらどうすれば良いのだろう
          言わば究極の個人情報がダダ漏れになって、その後は安心して生体認証を使えない体になってしまうのか?
          顔は比較的気軽に美容整形できるとして、指紋・掌紋や虹彩はどうすればよい?
          足も含めれば指は20本もあるので、指紋に関してはあまり心配する必要はないのかな.....
          (やおら靴と靴下を脱いでノートPCの指紋センサを踏みつける光景が目に浮かぶ)

          • by nim (10479) on 2023年02月13日 16時41分 (#4409988)

            生体認証の情報は、数値化されてデバイス内で保持されるもので、サーバ側に生体情報そのものが保存されているわけじゃなく、おそらくデバイスごとに値も違うので、ご心配のようなことには現実にはならないですよ。

            親コメント
          • 虹彩認証はまともなものなら血流もチェックしている(本来の「生体」認証はこのように対象が「生きている」ことも条件に入ってる)ので、抉り取った後再移植可能な環境に保存し、その後適切な血流再現装置に繋がないと使えない。(もしクラックするなら隠しカメラで虹彩の動画像撮った上で、充分な精細度を持つディスプレイで再現する方が実現性高いんじゃね?)
            まぁこのこと知らないで抉り取っていくバカがいるのは目に見えているから危険なことに変わり無いけど。

            ちな銀行の指認証も静脈血チェックしてるので、寒さとかで血流が悪くなったりするとエラーが起きる可能性ある。

            --
            ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
            親コメント
    • by Anonymous Coward

      そうなる前に要求を飲めばいいじゃないの。
      素直に吐かないから、拷問したり、嫁や子供を人質にしたり、殺して指を切り落とさないといけなくなる。

    • by Anonymous Coward

      変更できるものでもないから、一度突破方法を発見されたら対策取れるまでサービス停止するしかない気がする
      2段階認証もだけど、一つの手段で慢心するのは危険だよね

  • その一方で単一サービスにパスワード全部掴まれちゃうのはかなり大きいリスクだよね

    そういえば、しばらく前から検索ボックスの仕様が「リストのフィルタリング」から「フィルタリングされたドロップダウンリストの表示(表示上限あり)」になってて不便なんだけど、こういうUI他で見たことないな

    OSXでもブラウザとの連携微妙な感じになってるし、替え時かしら?

    • by Anonymous Coward

      その一方で単一サービスにパスワード全部掴まれちゃうのはかなり大きいリスクだよね

      どんなリスクを想定されているんでしょうか?
      サービス提供元から漏洩した際に複合化されてしまうリスク?
      それともサービス提供元が無くなって、データが消失するリスク?

      • by Anonymous Coward

        そいうのはe2eで暗号化されててサービス側でも復号は無理ちゃうんか

        • by Anonymous Coward

          その2つのeが何を指しているのか説明してくれ。
          「どの端末で復号するか」を特定せずにe2e暗号化って可能なのか?

      • by Anonymous Coward

        たとえば1password自体に邪悪なアップデートが仕込まれて丸ごとデータを抜かれる危険性、とか?
        あり得ないとは言い切れないが(これが起きればE2E暗号化も無力)、
        ・彼らも生活をかけてそんなことが起きないように頑張っているはずだという信頼
        ・アプリケーション自体の利便性
        ・コピペ禁止設定をかけている愚かなWebサイト対策として「Type in Window」機能がとにかく便利
        があるので長らく利用してるしこの先も使い続けるだろうと思う。

  • by Anonymous Coward on 2023年02月12日 19時50分 (#4409605)
  • by Anonymous Coward on 2023年02月12日 20時11分 (#4409617)

    言い換えてるだけやん

    • by Anonymous Coward

      一般的にパスワードは what you know ですが、PINは what you know + what you have なので異なる概念ですよ

      • by Anonymous Coward

        やることいっしょやん

        • by Anonymous Coward

          やることはいっしょだよ
          でも認証情報(パスキー)の保存される場所がサーバー側→クライアント側に変わるよ
          だから安全だよ

          • by Anonymous Coward

            でも結局複数端末での同期が面倒くさいからほとんどの人はクラウド同期でサーバに保存することになりそう

            • by Anonymous Coward

              え?1Passwordってクラウド同期でサーバに保存するサービスで、この件はそのクラウドにアクセスするための認証で内部的にもパスワードを使わなくするって話では?
              端末ごとに認証登録は必要だけど、端末ごとに一度登録すればいいだけなので「同期が面倒くさい」なんてことは起こらないと思うんだけど。

              • by Anonymous Coward

                別端末使うとやり直し

              • by Anonymous Coward

                端末を増やすときは作業があるけど
                端末が複数でも登録した端末では登録は1度だけ。

              • by Anonymous Coward

                それって「クラウド同期でサーバに保存」すれば不要になるとでも思ってる?

        • by Anonymous Coward

          やることは同じだけどより安全になる(他のデバイスで同じ入力をしても通らない)から結果は同じじゃない

          • by Anonymous Coward

            付箋紙か手帳のメモ見て入力

            • by Anonymous Coward

              付箋紙はちゃんとディスプレイに貼ったままにしておいてね

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...