パスワードレス化、進んでる? 118
ストーリー by headless
進化 部門より
進化 部門より
Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ
(ニュースリリース、
BetaNews の記事)。
53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。
スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。
53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。
スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。
パスワードに戻した (スコア:5, 興味深い)
Windows 10のPIN認証+Nord VPN+マザーのBIOSアップデート→死
詳しく書くと
BIOSアップデートでPINがリセットされることを知らずにアップデートした結果、起動時にMicrosoftアカウントでの再認証が必要になった
「このデバイスのセキュリティ設定が変更されたため、セットアップした暗証番号(PIN)が使えなくなりました。クリックして暗証番号(PIN)をもう一度設定してください。」
ところがNord VPNを使用していたので、Nord VPN起動前にネットワーク接続を制限する設定になっていた
Windowsのログイン前にネットワークに接続できないのでMicrosoftアカウントに接続できない=PINのセットアップ出来ない→詰み。OS再インストール
もうパスワードでいいよ最高
Re:パスワードに戻した (スコア:4, 参考になる)
Windowsで買ってきたPCを最初からパスワードなしでMSアカウント&PINログインにすると
新しいPCでファイル共有出来ない状態になった。別の端末からその新しいPCの共有フォルダにアクセスできなかった。
調べたらどうも最初からPINログインにすると端末にパスワードが保存されていない状態なので共有フォルダへそのユーザーで接続出来ないらしい。
Re: (スコア:0)
セーフモードでもなんともできないのか
Re: (スコア:0)
どうしてセーフモードでなんとか出来ると思ったんだ?
Re: (スコア:0)
そりゃセーフモードは一部の起動設定やプログラムをスキップして起動するモードだからだよ
ネットワーク有効で起動するオプションもあるぞ
Re: (スコア:0)
通常時はネット切れててもPINの代わりにパスワードでログインできるけど、このコメントのようなケースだとダメなんかな。
手のひら静脈認証終了のお知らせ (スコア:2, 興味深い)
https://www.bk.mufg.jp/tsukau/ic_cash/tenohira_haishi/index.html [bk.mufg.jp]
東京三菱の頃から手のひら静脈認証を使っていたけれど、
今年ついに手のひら静脈のサービスが廃止されて、普通の
暗証番号のみに戻った。
昨今では振り込め詐欺のリスクの方が高いのだから、
この流れもやむを得ないのかもしれない。
ノートPCの方は指紋認証付きなのでそれなりに使ってるが、
認識しないことも多くてパスワードは手放せない。
Re:手のひら静脈認証終了のお知らせ (スコア:1)
スマホの方が信頼性がないので物理カードを維持してる。
複数端末に設定してバックアップ出来るとか、リカバリーコードで切り替え可能ならまだしもねぇ。
docomo も Windows も Yahoo! も最悪の実装 (スコア:2, 興味深い)
・docomo
dアカウントへのログイン自体は、PCから操作→生体認証で画面ロックしたスマホで承認で行ける。
その後、契約内容の変更や機種の購入などの操作をすると
「セキュリティ強化のため、現在のアカウント設定では本サービスをご利用いただけません。」で詰む。
利用端末でパスキーの登録が必須とのことだが、対応しているのはスマホ・タブレットのみなので、PCからは契約内容の変更も機種の購入もできないことになる。
以前は、回線認証のためだったのでまだ許せるが、今はdocomoの回線を契約していない場合も同様に、パスキーのためだけにスマホやタブレットから操作しなくてはならない(ログイン承認だけスマホも不可)。
パスキー必須にするなら、PCにも対応すべき。
・Windows
Win11のサインイン オプションで「セキュリティ向上のため、…Windows Helloサインインのみを許可する」がONかつシステム構成(Msconfig)で「診断スタートアップ」ONにして再起動すると、Windowsログオンできなくなり、設定も戻せなく詰むというバグが長年放置されている。
https://twitter.com/inasoft_ayacy/status/1652211523744571395?cxt=HHwWh... [twitter.com]
こういう、完全に詰むという非常に最悪のバグが修正されてないので、Windows Helloは使わない方がいい。
これ以外にもバグだらけ。
・Yahoo!
普通にアカウント作るとパスワード無しで毎回SMS認証でログインすることになる(PayPay使ってたらそれが必須)。
これがとにかく酷くて、一定時間内に一定回数SMS認証すると、Yahoo! 側で送信費がかかるからかロックされてしまう。
PCブラウザーから複数のアカウントを使い分けするためにログイン→ログアウトを数回繰り返した場合もロックされる(こっちは複数のブラウザープロファイルを使い分けてログアウトしないという回避策もある)。
これだけならまだ許せたとしても、決済などでYahoo!側の都合で追加でSMS認証が強制される場合も同様で、数回連続で決済するとロックされる酷い仕様。
普通に パスワード + TOTPでの2要素認証 の方がよっぽど良い。
Re: (スコア:0)
ヤフーのSMSは最悪
Re: (スコア:0)
ヤフーはパスワード+TOTPをわざわざ廃止してSMSの1要素認証を強制するという悪質さ
個人情報としての電話番号が欲しいだけだと思ってる
Re: (スコア:0)
ほんと、ヤフーのはイライラしますね。
家ではスマホ使わないから、別の部屋においてあるときにスマホ認証求められると、めんどくさくなってログインをやめることも多い。
Re: (スコア:0)
Gmailはさらに手間が増えるようになっていて、メールアドレス入力後に登録してあるのにかかわらずSMS送信先の電話番号を毎回入力させられる。
ついでに俺が持ってるあるアカウントで前に書いたけどSMS送信ができなくなってたが [srad.jp]、2ヶ月ぐらいしたらSMS認証のボタンが復活してコード送信できるようになった。スマホかタブレットのアプリ開いてボタン押せってやつからやっと解放されたよ。
多要素認証技術 (スコア:1)
(追加ではなく)置き換えたら多要素にならないのでは
Re:多要素認証技術 (スコア:1)
多要素って複数の受付方法って意味じゃないから…
Re:多要素認証技術 (スコア:1)
Windows Hello や、FaceID のような生体認証は、そもそも事前に設定されたデバイスでのみ有効(所持認証)なので、多要素認証の要件を満たします。
これを雑に表現しているだけじゃないでしょうか。
Re: (スコア:0)
ヤフーがそれですね(パスワード消してSMSのみの単要素認証に)
他にあるのかな
生体認証を多要素化するのが一番良いのでは (スコア:1)
指紋、静脈、光彩、声紋など複数の生体認証を登録しておいて、そのうち複数が一致すればOK,みたいな形にすれば手軽さと安全性を両立できるんじゃないかという気がする。
まあ、そうなると読み取り側のデバイス準備が大変になってしまうのだけど、標準化やら量産効果とかそういうのでなんとかしてもらって……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:生体認証を多要素化するのが一番良いのでは (スコア:1)
死んだ時の事を考えて銀行系は
生体認証からパスワードに戻してる
PIN の悲劇(Windows編) (スコア:1, 興味深い)
PIN が導入されてから相談を受けてマイクロソフトアカウントが必要になった際に
メールアドレスもパスワードも答えられない人が増えて困っている。
PIN 導入以前なら...
・パスワードは起動のたびに入力しているので本人が憶えている
・メールアドレスは本人が分からなくても PC が壊れていなければ見つけられる
※相談者の半分ぐらいはどこかで携帯電話の番号登録をしているので、その場合は
メールアドレスを見つけて『SMS 認証 → パスワード変更』で事なきを得る
# 初期設定のマイクロソフトアカウント設定時にこんな場面を追加して欲しい
# 「メールアドレスを控えましたか? 『はい』『いいえ』」
# 「パスワードを控えましたか? 『はい』『いいえ』」
# 「トラブルに備えて携帯電話の番号を入力して下さい『はい』『携帯電話を持っていません』」
#
# え? 面倒臭い? スラドの皆さんはそもそもここを通らないですよね?
# ・初期設定ではローカルアカウントでログイン
# ・MSアカウントは必要な時にアプリケーションレベルでログインする
# ・MSアカウントでログインにしたい場合は後で「設定」の中で行う
Re: (スコア:0)
家に置いてある会社支給のノートPC、毎回、PINでログインしているから、パスワード入れろと言われたら、わからん。
一応、候補はあるけど、それがはずれなら詰むな。
BIOSのアップデートはしないようにしよう。
Re: (スコア:0)
会社のシステムで初めてPIN聞かれて
サポートデスクに「PINって何ですか?」と尋ねたら「数字4桁のパスワード」
設定した記憶がないというと「初期設定は生年月日の月日」
へー
本当にパスワードより安全? (スコア:1)
ローカルで完結していたものがネットワーク接続が必須に、SMSのために電話回線が必須に、OTPのために認証アプリが必須に、なんて具合に必須経路が増えるタイプのやつはだいたいトラブルの種になると思う……。
全部が上手く動かないといけないことによる信頼性低下と関わる組織が増えることによる漏洩リスクの増加は本当にパスワードレスのメリットに見合ってるのでしょうか?
最新技術は危険 (スコア:0)
英数字記号入りランダム十数文字パスワードで人柱を待ちます
一部スーパーでパス画面スルーしてクレカ決済できてるけど (スコア:0)
紛失したらえらいこった。
Re: (スコア:0)
FelicaだろうがNFCだろうが、無線決済は全部一緒。
というか大金を現金で落としたのと同じ。
もっとも紛失に気づいて即サポートに連絡して無効化してもらえば使われないので現金よりマシ。
無効化の手続き完了迄に使われたら残念だけどね。
Re:一部スーパーでパス画面スルーしてクレカ決済できてるけど (スコア:1)
自分が使ってないことを確認できる必要があるようだけど、数日落としたの気付かず、無効化が遅くなったことあったけど、その間に使われた分ふくめて、保険で処理してもらえたよ。
その時は、オンラインショップとかで使われてたけど、送り先が自宅や職場と関係ない場所だったり利用経験ないショップとかで、電話だけで確認とれた。
Re: (スコア:0)
紛失リスクがあるからsuicaのチャージは2万までなのよね。
Re:一部スーパーでパス画面スルーしてクレカ決済できてるけど (スコア:1)
基本、同じCVMリミットなはずですよ。(参考資料 [j-credit.or.jp])
クレジットカード単体で置くだけだと本人確認(CVM)を行えていないので、Google Pay等のロック状態での上限と一緒になります。
親コメントのGoogle Payの記事は、コンタクトレス決済でのCVMリミット金額(サインやPIN不要上限)のリストと基本的には等価なはずです。
Google Pay/Apple Payでロック解除した状態でタッチすると、CDCVMって仕組みでサインしたのと同じ扱いになるので決済可能上限が上がります。
イオンはレシートに「本人確認省略」(CVMリミット金額以下でNo CVM扱い)とか、「本人確認済」(CDCVM利用時等)と表記されるのでわかりやすいです。
でも (スコア:0)
スマホではよくPINを要求するよね。
まあ、生体認証が使えなくなったときのためだとはわかるけど、よわよわだよね
Re:でも (スコア:1)
端末認証とセット(PIN自体はその端末内で照合され、端末内に保存されたトークンをアクティベートできる仕組み)なので、そんなによわよわじゃないです。
端末縛りなしの(かなりパスワードが複雑だったとしても)パスワード認証よりは、サイバー攻撃(特にアカハク)耐性が相当高いです。
unixの子孫 (スコア:0)
お前らの大好きなLinuxとかは何時になったらsudoとかでパスワードレス化するの?
永久に古典的なパスワードのまま?
--
しもベは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:unixの子孫 (スコア:1)
既にSSH等のリモートログインでは公開鍵認証が普通になってると思う。
ローカルデスクトップのログインも色々代替はあるんだが、こっちは既にWindowsの例が多数挙げられてるように下手なことすると詰みそうで……。
Re: (スコア:0)
今どきはだいたいのOSでその辺りPAMでカスタマイズできるでしょ。パスワードでの認証(たとえばLinuxならpam_unixモジュール)がデフォルトで設定されているというだけで。
Re: (スコア:0)
「技術的には可能です」
それは可能じゃないんだよなあ。Linuxはそんなんばっかだ。
Re: (スコア:0)
大昔のJavaOneで、サンマイクロの社長かどなたかがクレジットカード大のJavaカードをシンクラのコンピューターに刺して
ログインして見せてたような…OSがSolarisだけど
Re: (スコア:0)
ローカルログインもsudoもPAM (Pluggable Authentication Modules)を使ってるだけなので、
PAM対応のパスワードレス認証モジュールを持ってくれば何とでもできますよ。
ハードウェアキーであれば有名どころは YubiKey (yubico-pam) [yubico.com] がありますし、サービス利用であれば Google Authenticator [github.com] (使用例 [tech-lab.sios.jp]) とかもあります。
マイナンバーカード、クレカ、免許証 (スコア:0)
ここらへんのパスワードもありますし
暗号化ディスク (スコア:0)
起動直後にパスワードを入れなきゃ指紋認証が使えないのって、指紋のデータが暗号化されたディスクの中に入っているからですよね?その指紋自体も見えなかったり薄かったりで頼りないことこの上ないんですが…
Re: (スコア:0)
ブートしてる場合、復号はできてるのでは。
あと指紋とかのWindows Helloの情報はTPMに保存されてるはず。
パワードドレス (スコア:0)
に見間違えた(ちょっと無理がある)
androidのスマホでメモリが少ない機種(といっても3Gbyteあるんだけど)とかだと、認証の為にSMS認証をやるタイプのアプリとか
SMS受けてそのパスコードを見ようとメーラーに切り替わると認証コード入力待ちのアプリがメモリからパージされてて
最初からやりなおし。再びSMS認証まで進んで……以後繰り返し、とか起きてとってもに悲しい。
パワードレス (スコア:0)
に見間違える(筋力+2)
仕組みもまぁ分かるし、やや慣らされた感もあるのですが
それでもやはり「何がそんなにリソースを食うのさ」と血の鼻水が出ることもあったりなかったり。
640GBは全ての人にとって未来永劫に充分なメモリということにしよう
Re:パワードレス (スコア:1)
あ、ここにも私が居た。
Re:パワードレス (スコア:2)
おれも
スマホの指紋認証、指先乾燥すると認識してくれない
Re:パワードレス (スコア:1)
>保湿液とかつけた直後だけ通る。
保湿クリーム塗ると、そのベトベトで認証が通らなくなるわな
良いやつ買わないとダメか
セキュリティには詳しくないんだけどパスワードレスと言っても (スコア:0)
Windows HelloやPasskeyとかは認証情報がローカルに保存されてて、PIN+そのデバイスの組み合わせを認証として使ってるのよね。
一方ATMの生体認証とか、時折勝手に実験して問題になったりする改札の顔認証は、生体データとかがサーバー側というか相手側に保存されてるという意味で、文字通り単なるパスワードの代替。
つまり一口にパスワードレスと言っても、意味合いが全然異なってくるという理解でいいのかしら。
フィッシング対策として (スコア:0)
フィッシングが問題になるようなショピング、ネットバンクではさっさとパスキーの導入とパスワード無効化機能を入れて欲しい
パトラッシュ、僕はもう家族に2FA導入を説明するのは疲れたよ。 そういう意味では「ありがとう任天堂」だ。
スマホの指紋認証 (スコア:0)
電話かかってきて、風呂上がりだったので指紋が認識されず。急ぎの電話とわかってたので軽くパニックになった。
緊急時パスワードで開けられるの思い出して対応できたが、認証方法は複数ないと危ないと改めて思った。
Re:スマホの指紋認証 (スコア:1)
すっぴんが別人なので……。
Re:スマホの指紋認証 (スコア:1)
マスクしていて顔認証不能
指紋認証しようとしたら指先乾燥していてアウト
パスワード(パターン)認証
めんどくさい