パスワードを忘れた? アカウント作成
19031729 story
セキュリティ

パスワードレス化、進んでる? 118

ストーリー by headless
進化 部門より
Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリースBetaNews の記事)。

53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。

スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年11月18日 21時23分 (#4566278)

    Windows 10のPIN認証+Nord VPN+マザーのBIOSアップデート→死

    詳しく書くと
    BIOSアップデートでPINがリセットされることを知らずにアップデートした結果、起動時にMicrosoftアカウントでの再認証が必要になった
    「このデバイスのセキュリティ設定が変更されたため、セットアップした暗証番号(PIN)が使えなくなりました。クリックして暗証番号(PIN)をもう一度設定してください。」
    ところがNord VPNを使用していたので、Nord VPN起動前にネットワーク接続を制限する設定になっていた
    Windowsのログイン前にネットワークに接続できないのでMicrosoftアカウントに接続できない=PINのセットアップ出来ない→詰み。OS再インストール

    もうパスワードでいいよ最高

    • by Anonymous Coward on 2023年11月19日 0時21分 (#4566319)

      Windowsで買ってきたPCを最初からパスワードなしでMSアカウント&PINログインにすると
      新しいPCでファイル共有出来ない状態になった。別の端末からその新しいPCの共有フォルダにアクセスできなかった。
      調べたらどうも最初からPINログインにすると端末にパスワードが保存されていない状態なので共有フォルダへそのユーザーで接続出来ないらしい。

      親コメント
    • by Anonymous Coward

      セーフモードでもなんともできないのか

      • by Anonymous Coward

        どうしてセーフモードでなんとか出来ると思ったんだ?

        • by Anonymous Coward

          そりゃセーフモードは一部の起動設定やプログラムをスキップして起動するモードだからだよ
          ネットワーク有効で起動するオプションもあるぞ

    • by Anonymous Coward

      通常時はネット切れててもPINの代わりにパスワードでログインできるけど、このコメントのようなケースだとダメなんかな。

  • by Anonymous Coward on 2023年11月18日 21時44分 (#4566287)

    https://www.bk.mufg.jp/tsukau/ic_cash/tenohira_haishi/index.html [bk.mufg.jp]

    東京三菱の頃から手のひら静脈認証を使っていたけれど、
    今年ついに手のひら静脈のサービスが廃止されて、普通の
    暗証番号のみに戻った。
    昨今では振り込め詐欺のリスクの方が高いのだから、
    この流れもやむを得ないのかもしれない。

    ノートPCの方は指紋認証付きなのでそれなりに使ってるが、
    認識しないことも多くてパスワードは手放せない。

  • by Anonymous Coward on 2023年11月18日 22時54分 (#4566304)

    ・docomo
    dアカウントへのログイン自体は、PCから操作→生体認証で画面ロックしたスマホで承認で行ける。
    その後、契約内容の変更や機種の購入などの操作をすると
    「セキュリティ強化のため、現在のアカウント設定では本サービスをご利用いただけません。」で詰む。
    利用端末でパスキーの登録が必須とのことだが、対応しているのはスマホ・タブレットのみなので、PCからは契約内容の変更も機種の購入もできないことになる。
    以前は、回線認証のためだったのでまだ許せるが、今はdocomoの回線を契約していない場合も同様に、パスキーのためだけにスマホやタブレットから操作しなくてはならない(ログイン承認だけスマホも不可)。
    パスキー必須にするなら、PCにも対応すべき。

    ・Windows

    Win11のサインイン オプションで「セキュリティ向上のため、…Windows Helloサインインのみを許可する」がONかつシステム構成(Msconfig)で「診断スタートアップ」ONにして再起動すると、Windowsログオンできなくなり、設定も戻せなく詰むというバグが長年放置されている。

    https://twitter.com/inasoft_ayacy/status/1652211523744571395?cxt=HHwWh... [twitter.com]
    こういう、完全に詰むという非常に最悪のバグが修正されてないので、Windows Helloは使わない方がいい。
    これ以外にもバグだらけ。

    ・Yahoo!
    普通にアカウント作るとパスワード無しで毎回SMS認証でログインすることになる(PayPay使ってたらそれが必須)。
    これがとにかく酷くて、一定時間内に一定回数SMS認証すると、Yahoo! 側で送信費がかかるからかロックされてしまう。
    PCブラウザーから複数のアカウントを使い分けするためにログイン→ログアウトを数回繰り返した場合もロックされる(こっちは複数のブラウザープロファイルを使い分けてログアウトしないという回避策もある)。
    これだけならまだ許せたとしても、決済などでYahoo!側の都合で追加でSMS認証が強制される場合も同様で、数回連続で決済するとロックされる酷い仕様。

    普通に パスワード + TOTPでの2要素認証 の方がよっぽど良い。

    • by Anonymous Coward

      ヤフーのSMSは最悪

      • by Anonymous Coward

        ヤフーはパスワード+TOTPをわざわざ廃止してSMSの1要素認証を強制するという悪質さ
        個人情報としての電話番号が欲しいだけだと思ってる

      • by Anonymous Coward

        ほんと、ヤフーのはイライラしますね。
        家ではスマホ使わないから、別の部屋においてあるときにスマホ認証求められると、めんどくさくなってログインをやめることも多い。

        • by Anonymous Coward

          Gmailはさらに手間が増えるようになっていて、メールアドレス入力後に登録してあるのにかかわらずSMS送信先の電話番号を毎回入力させられる。

          ついでに俺が持ってるあるアカウントで前に書いたけどSMS送信ができなくなってたが [srad.jp]、2ヶ月ぐらいしたらSMS認証のボタンが復活してコード送信できるようになった。スマホかタブレットのアプリ開いてボタン押せってやつからやっと解放されたよ。

  • by Anonymous Coward on 2023年11月18日 21時00分 (#4566268)

    (追加ではなく)置き換えたら多要素にならないのでは

    • by Anonymous Coward on 2023年11月18日 23時32分 (#4566309)

      多要素って複数の受付方法って意味じゃないから…

      親コメント
    • by nim (10479) on 2023年11月20日 12時08分 (#4566856)

      Windows Hello や、FaceID のような生体認証は、そもそも事前に設定されたデバイスでのみ有効(所持認証)なので、多要素認証の要件を満たします。

      これを雑に表現しているだけじゃないでしょうか。

      親コメント
    • by Anonymous Coward

      ヤフーがそれですね(パスワード消してSMSのみの単要素認証に)
      他にあるのかな

  • 指紋、静脈、光彩、声紋など複数の生体認証を登録しておいて、そのうち複数が一致すればOK,みたいな形にすれば手軽さと安全性を両立できるんじゃないかという気がする。

    まあ、そうなると読み取り側のデバイス準備が大変になってしまうのだけど、標準化やら量産効果とかそういうのでなんとかしてもらって……。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
  • by Anonymous Coward on 2023年11月19日 8時03分 (#4566360)

    PIN が導入されてから相談を受けてマイクロソフトアカウントが必要になった際に
    メールアドレスもパスワードも答えられない人が増えて困っている。

    PIN 導入以前なら...
     ・パスワードは起動のたびに入力しているので本人が憶えている
     ・メールアドレスは本人が分からなくても PC が壊れていなければ見つけられる

    ※相談者の半分ぐらいはどこかで携帯電話の番号登録をしているので、その場合は
     メールアドレスを見つけて『SMS 認証 → パスワード変更』で事なきを得る

    # 初期設定のマイクロソフトアカウント設定時にこんな場面を追加して欲しい
    # 「メールアドレスを控えましたか? 『はい』『いいえ』」
    # 「パスワードを控えましたか? 『はい』『いいえ』」
    # 「トラブルに備えて携帯電話の番号を入力して下さい『はい』『携帯電話を持っていません』」
    #
    # え? 面倒臭い? スラドの皆さんはそもそもここを通らないですよね?
    # ・初期設定ではローカルアカウントでログイン
    # ・MSアカウントは必要な時にアプリケーションレベルでログインする
    # ・MSアカウントでログインにしたい場合は後で「設定」の中で行う

    • by Anonymous Coward

      家に置いてある会社支給のノートPC、毎回、PINでログインしているから、パスワード入れろと言われたら、わからん。
      一応、候補はあるけど、それがはずれなら詰むな。
      BIOSのアップデートはしないようにしよう。

    • by Anonymous Coward

      会社のシステムで初めてPIN聞かれて
      サポートデスクに「PINって何ですか?」と尋ねたら「数字4桁のパスワード」
      設定した記憶がないというと「初期設定は生年月日の月日」
      へー

  • by Anonymous Coward on 2023年11月19日 11時04分 (#4566407)

    ローカルで完結していたものがネットワーク接続が必須に、SMSのために電話回線が必須に、OTPのために認証アプリが必須に、なんて具合に必須経路が増えるタイプのやつはだいたいトラブルの種になると思う……。
    全部が上手く動かないといけないことによる信頼性低下と関わる組織が増えることによる漏洩リスクの増加は本当にパスワードレスのメリットに見合ってるのでしょうか?

  • by Anonymous Coward on 2023年11月18日 21時07分 (#4566270)

    英数字記号入りランダム十数文字パスワードで人柱を待ちます

  • 紛失したらえらいこった。

    • by Anonymous Coward

      FelicaだろうがNFCだろうが、無線決済は全部一緒。
      というか大金を現金で落としたのと同じ。
      もっとも紛失に気づいて即サポートに連絡して無効化してもらえば使われないので現金よりマシ。
      無効化の手続き完了迄に使われたら残念だけどね。

      • 自分が使ってないことを確認できる必要があるようだけど、数日落としたの気付かず、無効化が遅くなったことあったけど、その間に使われた分ふくめて、保険で処理してもらえたよ。
        その時は、オンラインショップとかで使われてたけど、送り先が自宅や職場と関係ない場所だったり利用経験ないショップとかで、電話だけで確認とれた。

        親コメント
      • by Anonymous Coward

        紛失リスクがあるからsuicaのチャージは2万までなのよね。

  • by Anonymous Coward on 2023年11月18日 21時23分 (#4566279)

    スマホではよくPINを要求するよね。
    まあ、生体認証が使えなくなったときのためだとはわかるけど、よわよわだよね

    • by nim (10479) on 2023年11月20日 12時12分 (#4566861)

      端末認証とセット(PIN自体はその端末内で照合され、端末内に保存されたトークンをアクティベートできる仕組み)なので、そんなによわよわじゃないです。

      端末縛りなしの(かなりパスワードが複雑だったとしても)パスワード認証よりは、サイバー攻撃(特にアカハク)耐性が相当高いです。

      親コメント
  • by Anonymous Coward on 2023年11月18日 22時13分 (#4566294)

    お前らの大好きなLinuxとかは何時になったらsudoとかでパスワードレス化するの?
    永久に古典的なパスワードのまま?

    --
    しもベは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される

    • by Anonymous Coward on 2023年11月19日 4時15分 (#4566336)

      既にSSH等のリモートログインでは公開鍵認証が普通になってると思う。
      ローカルデスクトップのログインも色々代替はあるんだが、こっちは既にWindowsの例が多数挙げられてるように下手なことすると詰みそうで……。

      親コメント
    • by Anonymous Coward

      今どきはだいたいのOSでその辺りPAMでカスタマイズできるでしょ。パスワードでの認証(たとえばLinuxならpam_unixモジュール)がデフォルトで設定されているというだけで。

      • by Anonymous Coward

        「技術的には可能です」
        それは可能じゃないんだよなあ。Linuxはそんなんばっかだ。

    • by Anonymous Coward

      大昔のJavaOneで、サンマイクロの社長かどなたかがクレジットカード大のJavaカードをシンクラのコンピューターに刺して
      ログインして見せてたような…OSがSolarisだけど

    • by Anonymous Coward

      ローカルログインもsudoもPAM (Pluggable Authentication Modules)を使ってるだけなので、
      PAM対応のパスワードレス認証モジュールを持ってくれば何とでもできますよ。

      ハードウェアキーであれば有名どころは YubiKey (yubico-pam) [yubico.com] がありますし、サービス利用であれば Google Authenticator [github.com] (使用例 [tech-lab.sios.jp]) とかもあります。

  • by Anonymous Coward on 2023年11月18日 22時52分 (#4566301)

    ここらへんのパスワードもありますし

  • by Anonymous Coward on 2023年11月18日 23時19分 (#4566307)

    起動直後にパスワードを入れなきゃ指紋認証が使えないのって、指紋のデータが暗号化されたディスクの中に入っているからですよね?その指紋自体も見えなかったり薄かったりで頼りないことこの上ないんですが…

    • by Anonymous Coward

      ブートしてる場合、復号はできてるのでは。
      あと指紋とかのWindows Helloの情報はTPMに保存されてるはず。

  • by Anonymous Coward on 2023年11月18日 23時35分 (#4566311)

    に見間違えた(ちょっと無理がある)
    androidのスマホでメモリが少ない機種(といっても3Gbyteあるんだけど)とかだと、認証の為にSMS認証をやるタイプのアプリとか
    SMS受けてそのパスコードを見ようとメーラーに切り替わると認証コード入力待ちのアプリがメモリからパージされてて
    最初からやりなおし。再びSMS認証まで進んで……以後繰り返し、とか起きてとってもに悲しい。

  • Windows HelloやPasskeyとかは認証情報がローカルに保存されてて、PIN+そのデバイスの組み合わせを認証として使ってるのよね。
    一方ATMの生体認証とか、時折勝手に実験して問題になったりする改札の顔認証は、生体データとかがサーバー側というか相手側に保存されてるという意味で、文字通り単なるパスワードの代替。

    つまり一口にパスワードレスと言っても、意味合いが全然異なってくるという理解でいいのかしら。

  • by Anonymous Coward on 2023年11月19日 10時00分 (#4566384)

    フィッシングが問題になるようなショピング、ネットバンクではさっさとパスキーの導入とパスワード無効化機能を入れて欲しい
    パトラッシュ、僕はもう家族に2FA導入を説明するのは疲れたよ。 そういう意味では「ありがとう任天堂」だ。

  • by Anonymous Coward on 2023年11月19日 10時02分 (#4566386)

    電話かかってきて、風呂上がりだったので指紋が認識されず。急ぎの電話とわかってたので軽くパニックになった。
    緊急時パスワードで開けられるの思い出して対応できたが、認証方法は複数ないと危ないと改めて思った。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...