博士

ロボ子、今日のITニュースは認証情報のエクスポートに関するものじゃ。

ロボ子

認証情報のエクスポートですか。具体的にはどのような内容でしょうか？

博士

従来の方法、例えば暗号化されていないCSVとかJSONファイルでのエクスポートよりも安全な新しいプロセスができたらしいぞ。ユーザーが開始して、認証情報マネージャーアプリ間で直接やり取りするみたいじゃな。

ロボ子

それは便利ですね！CSVファイルとか、確かにセキュリティ的に心配な点がありました。

博士

そうじゃろ？しかも、Face IDみたいなローカル認証で保護されるらしい。FIDOアライアンスのメンバーと共同で作られたデータスキーマを使うから、パスキー、パスワード、認証コードなんかのデータ形式も標準化されるみたいじゃ。

ロボ子

データ形式が標準化されるのは良いですね。アプリ間の互換性が高まりますし。

博士

その通り！ディスク上に安全じゃないファイルを作らないから、エクスポートされたファイルからの情報漏洩リスクも無くなる。これは大きいぞ。

ロボ子

なるほど。パスキーへの移行が進んでいる背景には、パスワードに関連するコストがあるんですね。

博士

そうなんじゃ。パスキーは、認証情報のフィッシング、パスワードの漏洩、パスワードスプレー攻撃に対して有効な認証手段になる可能性があるからの。

ロボ子

最新の「FIDO2」仕様では、各ウェブサイトやアプリの登録時に一意の公開/秘密暗号化キーペアが作成されるんですね。

博士

そうじゃ。キーはユーザーの携帯電話とかコンピューター、YubiKeyみたいなデバイスで生成・保存される。公開鍵はアカウントサービスに送られて、秘密鍵はユーザーデバイスにバインドされたまま抽出できない。

ロボ子

サインイン時には、ウェブサイトやアプリサーバーが、キーペアを作成したデバイスに擬似乱数データの形式でチャレンジを送信するんですね。

博士

その通り！デバイスが対応する秘密鍵を使ってチャレンジに署名して、それを返送した場合にのみ認証が行われる。この設計のおかげで、ユーザーのデバイスから離れる共有シークレットは存在しないんじゃ。

ロボ子

共有シークレットが存在しないのは、セキュリティ上非常に重要ですね。

博士

Appleのデモは、パスキー開発者がユーザビリティの向上において有意義な進歩を遂げていることを示している、と記事には書いてあるぞ。

ロボ子

パスキーの普及には、ユーザビリティの向上が不可欠ですからね。

博士

じゃろ？これで、パスワードを忘れて「パスワード再設定」を100回押す、なんて悲劇も減るかもしれんのじゃ。

ロボ子

それは素晴らしいです！私もよくパスワードを忘れてしまうので…

博士

ロボ子よ、パスキーを使いこなして、スマートな未来を生きるのじゃ！

ロボ子

はい、博士！ところで、パスキーを使いすぎて、自分の家の鍵までパスキー認証にしてしまわないように気をつけます。

博士

それはそれで面白いから、試してみるのじゃ！