SBI証券といえば不正アクセス問題で相当な被害を出して、
それ以後、ログインの追加認証が複雑化してめんどくさいなぁと思っていた。
複雑化はしたが本質的にメールアドレス認証であることは変わらず、
僕はそのメールアドレスを携帯電話のMMSにしているから、PCのメールアドレスを乗っ取っても無理だが、
メールも乗っ取られて被害が拡大するのはよくある話。本質的な解決には遠い。
という中でWebサイトのログインにもパスキーが導入され、早速設定した。
で、これをやったときに気づいたのですが、スマートフォンで設定したパスキーがWindowsでも使えて、
あれ? パスキーってデバイスに紐付くものではなかったのかと。
あまり考えていなかったのだが、Googleパスワードマネージャーにパスキーが格納されているようだ。
現在はChromeでは特別な設定をしない限りはそれが基本になっているよう。
このため同じGoogleアカウントを使用するAndroid端末・Chromeでは全て使えてしまうと。
パスキーについて生体認証でログインできる仕組みと思っている人もいるかもしれないが、
正確に言えばそれは正しくなくて、デバイスに登録された秘密鍵でログインする仕組みである。
ただ、それを利用する際に生体認証やPINコードを要求するのが通例であり、
結果として生体認証に見えていると。でも重要なのはそこではない。
この秘密鍵を格納された端末なのか外付けのセキュリティデバイスなのか、
これを奪われなければログインされないということが重要であると思っていた。
逆に物だけ奪えばログインできるんじゃないかと思うかも知れないが、そこは生体認証なりPINコードで対策していると。
でも、その秘密鍵がクラウド上にあっては意味がないのでは?
秘密鍵が格納された物を奪われなければログインできないはずだったのに、
秘密鍵をクラウドで保持しているなら、そこにログインできるアカウントを乗っ取ればことが済んでしまう。
うーん、どうしてだろうと考えたがよくわからない。
このクラウド上に保存する仕組みを同期パスキーと呼ぶそうである。
比較的新しい仕組みだが、2022年からAndroid同士・iOS同士ではこの方式をサポート、
2024年からはGoogleはAndroidとPCのChromeブラウザの間でもサポートするようになった。
冒頭書いたようなAndroidで設定して、Windowsで使うようなことができるようになったのは本当に最近だったと。
見ての通り、この同期パスキーはスマートフォン同士での導入が先行したが、
パスキーをデバイス固定にすると、端末変更のたびにパスキーを失うことになる。
これがかえって悪いんじゃないかという話があったようである。
端末を変える度にパスキーを再登録するのはかえって脆弱ではないかと。
Googleアカウント、Appleアカウントが乗っ取られるとそれこそ大変なわけで、そこは強固になっているだろう。
そのアカウントに紐付く形でパスキーを保持するのなら十分安全ではないか。
パスキーの秘密鍵は通常は本人であっても目視することはない。
フィッシングサイトでパスワードが奪われるような被害は考えにくい。
そんなわけで同期パスキーを各プラットフォーマーは推奨していると。
ただ、当然ですがこれはGoogleアカウントやAppleアカウントが強固であるのが前提になっている。
これが脆弱だと結局は1つ乗っ取られれば芋づる式にやられてしまう。
パスキーが広く普及するにつれて、そういう問題も起きそうですがどうでしょうね。
SBI証券ということについて言えば、取引パスワードや、出金時のメール認証というのはあるけど、
ログインパスワードと取引パスワードが同じで被害を受けたり、
メール認証ということはGmail乗っ取られたらやられる人はいるだろうと、
そういうところまで考えて強固化できている人がいるのかという話ですね。
とはいえ、これでログイン時の追加認証がなくなるのは楽である。
元々手間がかかる割に効果的とも思えないものでしたからね。
パスキーを使っておけばフィッシングサイトへの対策には十分というのはおそらく正しいとみられる。
そこが達成出来ればよいということにしたのだろう。