ついにパスワードをすべて忘れられる時代が来る。と思ったらちょっと違った話

今年の2月末ごろに上記の記事を書きました。「1passwordがPasskeyに対応するからパスワードをすべて忘れられるぞ！！」と、んで実際9月にPasskeyに対応した1passwordが提供されたので、先週末に対応してみました。

結果としては、MFAの一つとしてPasskeyが選択できるようになっただけでパスワードは未だ入力が必要です。まぁ、これでID・パスワード・セキュリティキーが全部漏れてもiPhoneパクられて、生体認証を突破されない限りは新規端末でログインできない状態になったので、めっちゃセキュアと言えばセキュアなんですが、結構面倒ですね。とはいえ、1passwordには私が使っているすべてのサイトのID/PWが保存されているので、これぐらいやってもいいんですけどね。

ちなみに、1passwordのMFAにiCloudのPasskeyと1passwordのPasskeyを登録したのですが、どちらもiOSの1passwordアプリからはFIDOのキーと認識されてキーの挿入を求められ利用できなかったです。仕方ないので1passwordのTOTPも設定してそちらでiOSアプリにはログインしました。Passkey認証用のQRコードを生成する機能をアプリにもつけておいてくれたらいいのに。。。

ついでに、以下のサイトを参照してPasskeyに対応しているサイトで使っているものはすべて設定してみました。

Passkeys.directory

ザックリ感想を言うと、まだまだそれぞれのサイトで利用に差があると言う感じです。

Google,MoneyforwardはPasskeyでログインした場合、それ以上MFAは求められませんが、AmazonはPasskeyでログインしてもその後にMFAが求められます。Passkey自体が複数要素（所持と、生体認証）なのでは？と言う気がしますけどね。

また、上記の３サイトについてはパスワードを削除することはできないのでパスワード漏洩時に不正アクセスされてしまう可能性は残ってしまいます。いっそのことパスワードログイン自体禁止できるようになったらいいんですけどね。

任天堂はもともとパスワードを削除することが推奨されているようで、削除してPasskeyのみでのログインが可能になりますが、MSはPasskeyでのログインはできますが、パスワードレスログインはMS Authenticatorしか対応していないようです。。。めんどい。

と言った感じで、結構サイトごとに対応がバラバラなので誰でも簡単に使えますよとはまだ言えないですね。。。ただ、ブラウザのパスワード保存から情報漏洩なんてこともあるので出来る限りパスワードは入力しないようにした方がセキュリティ上は良いかと思います。