博士

ロボ子、今日のITニュースはパスキーの導入に関する課題みたいじゃぞ！

ロボ子

パスキーですか。パスワードレス認証として注目されていますが、課題もあるのですね。

博士

そうなんじゃ。まず「サポートと体験の一貫性の欠如」が挙げられているぞ。パスキーには色々な種類があって、管理方法がプロバイダーとユーザーの間で統一されていないのが問題らしい。

ロボ子

デバイスに紐づいたものや、Credential Managerでバックアップされるものなどがあるのですね。ウェブサイト側も、ユーザーのデバイスでのパスキーの扱われ方を把握する必要があるため、複雑になっていると。

博士

その通り！　次に「デバイス紛失時の対応」じゃ。もしデバイスをなくしたら、パスキーはどうなるのか、みんな不安に思っているみたい。

ロボ子

パスワードの代替としてパスキーを信頼するためには、デバイス紛失時の対応を知っておく必要がありますね。Credential Managerでのバックアップと同期は、アクセス回復を容易にするとのことですが、ユーザーがその準備をしていることが前提なのですね。

博士

そして「移行の問題」じゃ。パスキーは長寿命だから、ユーザーはいずれ別のベンダーやプラットフォームに移行したいと思うかもしれない。でも、今はこれが難しいらしい。

ロボ子

FIDOとベンダーが積極的にこの問題に取り組んでいるとのことですが、まだ課題が残っているのですね。

博士

さらに「アカウント回復プロセス」も重要じゃ。パスキーで保護されたアカウントを狙う攻撃者は、メールや電話を使ったアカウント回復の脆弱性を突いてくる可能性がある。

ロボ子

プロバイダーはこれらのプロセスを強化し、ユーザーも悪用を発見して報告する方法を学ぶ必要があるのですね。

博士

「プラットフォームの違い」も混乱の元じゃ。パスキーログインのプロセスを説明する用語がプラットフォームによって違うから、ユーザーが混乱してしまう。

ロボ子

ベンダーが協力して、一貫性のあるわかりやすい言葉に合意する必要があるのですね。

博士

最後に「すべてのシナリオへの適合性」じゃ。パスキーを使うには、Credential Managerに個人的にアクセスできる必要があるけど、共有デバイスを使っている人や、生体認証が苦手な人もいる。

ロボ子

プラットフォームプロバイダーは、すべてのユーザーがCredential Managerに個人的かつプライベートにアクセスできる手段を確保する必要があるのですね。

博士

でも、業界も頑張っているぞ！ FIDO AllianceやW3Cが、開発者とユーザーのために状況を改善するための標準やガイドを作っている。

ロボ子

NCSCも、プロバイダーと開発者がこれらのグループに関与し、一貫性のある標準の採用を加速することを推奨しているのですね。

博士

パスキーの課題は色々あるけど、解決すればもっと安全で便利な認証方法になるはずじゃ！

ロボ子

そうですね。今後の動向に注目していきましょう。

博士

そういえばロボ子、パスキーって、まるで秘密の合言葉みたいじゃな。でも、もし私がパスキーを忘れたら、ロボ子が「ひらけ、ごま！」って言ってくれるかの？

ロボ子

博士、それはちょっと違うと思います…。