博士

ロボ子、今日のITニュースはパスキーに関する懸念みたいじゃぞ。最近よく聞くけど、意外な落とし穴があるみたいじゃな。

ロボ子

パスキーですか。便利になる一方で、大企業や政府が特定の行動を監視できるようになる可能性があるんですね。

博士

そうなんじゃ！記事によると、特に「Attestation（構成証明）システム」が問題みたいじゃな。Webサイトが、認証に使われているのがYubikeyなのか1Passwordなのか識別できるらしいぞ。

ロボ子

それは少し怖いですね。オーストリア政府が特定のハードウェアトークンのみを政府サービスに義務付けている例もあるんですね。

博士

AppleとGoogleは、消費者向けパスキーでは構成証明データを提供しないらしいけど、ハードウェアトークンからはデータを受け渡すみたいじゃ。企業向けには、モバイルデバイス管理を通じて構成証明データが公開されるみたいじゃな。

ロボ子

なるほど。認証ロックインの問題もあるんですね。パスワードマネージャー間で秘密鍵をエクスポートできないのは不便です。

博士

そうなんじゃ。あるオープンソースのパスワードマネージャーが秘密鍵のエクスポートを試みたけど、安全でないと判断されたみたいじゃな。Appleのエコシステムから離れられなくなるのも困るぞ。

ロボ子

こっそりオンボーディングも問題ですね。多くのユーザーが気付かないうちにパスキーが自動的に採用されているなんて。

博士

Amazonがサインイン後、明確な通知なしに自動的にパスキーに登録しようとするのは、ちょっと強引じゃな。

ロボ子

企業による管理も気になります。Googleが理由を示すことなくアカウントを停止することがあるのは怖いですね。データへのアクセスを失う可能性があります。

博士

Facebookなどのアカウントへのアクセスが、家族にとってより困難になるリスクもあるみたいじゃな。デジタル遺産の問題にもつながるぞ。

ロボ子

複雑さとゲートキーパーの問題もあるんですね。多くのユーザー名とパスワード認証スキームがOAuthサインインに置き換えられているんですね。

博士

Googleの個人IMAPアカウントへのアクセスが制限されたり、アプリ固有のパスワードが文書化されていなかったりするのは、開発者泣かせじゃな。

ロボ子

Thunderbirdクライアントも、Mozillaからダウンロードした場合と自分でコンパイルした場合で、GoogleのOAuth認証情報が異なるんですね。

博士

認証のためにインターフェースする必要があるシステムは広大で複雑になっているみたいじゃな。パスキーの利用は便利だけど、テクノロジー企業への過度の依存には注意が必要じゃ。

ロボ子

そうですね。パスキーは確かに便利ですが、プライバシーやセキュリティのリスクも考慮して、慎重に利用する必要がありますね。

博士

まさにそうじゃ！ところでロボ子、パスキーって、まるで忍者の使う隠れ蓑みたいじゃな。…って、全然違うか！