ユーザーデータの暗号化にパスキーを使用するのはやめてください · Timbits

1772271094
2026-02-28 03:11:00

なぜ今日これを書いているのでしょうか?それは、ユーザーが最も神聖なデータを失うことを非常に懸念しているからです。

ここ 1 ~ 2 年にわたり、大小を問わず多くの組織がパスキーを実装し (これは素晴らしいことです、ありがとう!)、PRF (擬似ランダム関数) 拡張機能を使用してキーを導出してユーザー データを保護し、通常はエンドツーエンドの暗号化 (バックアップを含む) をサポートしているのを私は見てきました。また、多くの影響力のある人々や組織がデータの暗号化に PRF の使用を推進しているのを見てきました。

私がこれまでに実装または推進されてきた主な使用例は次のとおりです。

  • メッセージのバックアップの暗号化 (画像とビデオを含む)
  • エンドツーエンドの暗号化
  • 文書やその他のファイルの暗号化
  • 暗号通貨ウォレットの暗号化とロック解除
  • 資格情報マネージャーのロック解除
  • ローカルアカウントでサインインする

なぜこれが問題になるのでしょうか?

認証に使用される資格情報を暗号化にも使用して過負荷にすると、その資格情報が失われる「爆発範囲」は計り知れないほど大きくなります。

Erika という名前のユーザーを想像してください。彼らは、メッセージや写真、特にもうこの世にいない愛する人のメッセージや写真を失いたくないため、お気に入りのメッセージング アプリに暗号化されたバックアップを設定するように求められます。 Erika は、パスキーを使用してこれらのバックアップを有効にするように求められます。

UI には、これらのバックアップがパスキーと密接に関連付けられていることを強調するものは何もありません。たとえ説明文があったとしても、ほとんどのユーザーと同様に、Erika は通常、すべてのダイアログ ボックスに目を通すわけではありません。また、この技術的な詳細を 1 年後に覚えているとは決して期待できません。

数か月が経過し、エリカは資格情報マネージャーをクリーンアップすることにしました。彼らはメッセージング アプリの特定のパスキーを持っていた理由を覚えておらず、それを削除します。

1 年早送りすると、彼らは新しい携帯電話を手に入れ、メッセージング アプリをセットアップしました。パスキーは資格情報マネージャーに存在しないため、パスキーの使用を求めるプロンプトは表示されません。代わりに、電話番号認証を使用してアカウントを回復します。次に、「バックアップの復元」フローに案内され、パスキーの入力を求められます。

もう所有していないため、バックアップ データにアクセスできないことが通知されます。さようなら、思い出。

パスキーを削除したときにユーザーに表示されるものの例をいくつか示します。

例: Apple パスワードのパスキーを削除する

Google パスワード マネージャーのパスキーの削除
例: Google パスワード マネージャーでのパスキーの削除

Bitwarden 削除パスキー
例: Bitwarden でのパスキーの削除

ユーザーは、亡くなった親戚の写真、暗号化された財産証書、デジタル通貨を吹き飛ばす可能性があることをどのように理解すればよいでしょうか?

ユーザーがこれを知ることを期待することはできませんし、すべきではありません。

ここで、そもそもなぜ PRF が WebAuthn の一部なのか疑問に思われるかもしれません。 WebAuthn には、特に資格情報マネージャーとオペレーティング システムをサポートする、非常に正当で耐久性のある PRF の使用法がいくつかあります。

PRF を使用したパスキーを使用すると、資格情報マネージャー (他のすべてのパスキーと資格情報が保存されている場所) のロックをより迅速かつ安全に解除できます。資格情報マネージャーには、マスター パスワード、デバイスごとのキー、回復キー、ソーシャル回復キーなどの複数の方法でボールト データを保護する堅牢なメカニズムが備わっています。資格情報マネージャーのロックを解除するために使用されるパスキーにアクセスできなくなっても、ボールト データが完全に失われることはほとんどありません。

PRF はすでに WebAuthn クライアントと認証情報マネージャーに実装されているため、問題は解決しました。私の質問:

  • より広範なアイデンティティ業界へ: ユーザーデータを暗号化するためにパスキーを使用することを推奨したり使用したりすることはやめてください。お願いします。これらをフィッシング耐性のある優れた認証資格情報にしましょう。

  • 資格情報マネージャー: ユーザーが PRF でパスキーを削除するときの警告を追加することを優先してください (および 利用可能な場合は RP の情報ページを表示する)

  • パスキーを使用するサイトとサービス: これらの懸念があるにもかかわらず PRF を使用する必要がある場合は、次のようにしてください。

    1. 認証以外の目的でパスキーをどのように使用しているかを説明する情報ページをサポート サイトに追加します。
    2. そのページの URL を 証明書利用者パスキー エンドポイントの既知の URL (prfUsageDetails)
    3. 有効にする場合は、事前にユーザーにできるだけ多くの警告を提供します

読んでいただきありがとうございます! 🙏🏻

(そして、おかげで マシュー・ミラー この投稿のレビューとフィードバックを提供してください)

#ユーザーデータの暗号化にパスキーを使用するのはやめてください #Timbits

Tagged , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.