This is a cache of https://b.hatena.ne.jp/entry/s/falsandtru.hatenablog.com/entry/passkey-fido-security-and-vulnerability-and-catastrophic-defect. It is a snapshot of the page as it appeared on 2025-12-08T17:13:00.213+0000.
[B! セキュリティ] パスキー(<strong>f</strong>IDO)の安全性と脆弱性と破滅的欠陥 - <strong>f</strong>alsandtruのメモ帳
  • はてなブックマーク
  • テクノロジー
  • パスキー(fIDO)の安全性と脆弱性と破滅的欠陥 - falsandtruのメモ帳
  • Twitterでシェア
  • Facebookでシェア

パスキー(fIDO)の安全性と脆弱性と破滅的欠陥 - falsandtruのメモ帳

テクノロジー カテゴリーの変更を依頼 記事元:falsandtru.hatenablog.com
適切な情報に変更
298users がブックマーク コメント 69

    記事へのコメント69

    • 注目コメント
    • 新着コメント
    karatte
    ここが一番怖かった→"パスキーの膨大な数の不正と欠陥と脆弱性により信用失墜したパスキー開発者と推進者に代わりこれらを世界で初めて解明した筆者がパスキーの世界最高権威となることは自明である"

    その他
    peketamin
    LINE長文派ワイ、婚活で苦労した理由がようやくわかった/パスワード認証を(多要素と組み合わせるなどして)残すべし、というのはOIDCでも見た気がする

    その他
    ritou
    私のことが嫌いなのはわかりますが、長すぎる文章を読むことは困難です。

    その他
    iinalabkojocho
    読んだ。docomoとメルカリの実装が悪そうなのは分かった。しかしてパスキーをここまで腐してる理由は分からん。fIDOが憎いのも分かった。何で中国に飛ぶのかは分からん。全体には分からん。パスキーの脆弱性は有るよ

    その他
    JULY
    とりあえず、記事が長すぎで、怪文書っぽく見えてしまう。アカウントリカバリーに関して問題がある、というのは同意だけど、それ以上は読む気になれない。

    その他
    diveintounlimit
    途中まで読んで何かおかしいと思った。ブコメのお陰で時間を浪費せずに済んだ。

    その他
    inatax
    「相対性理論の致命的な欠陥を発見した!」って主張するブログを読んだときと同じ気持ち。よしんば発見したとしても発表する場ははてなブログじゃないだろ

    その他
    suka6411144
    読む気起きなかったのでnotebooklmに放り込んでみた、要点としては秘密鍵が流出したときにサービス提供側でそれを無効化する手段が用意されていないってことみたいだけど本当なのか有識者の解説がみたい

    その他
    beejaga
    パスキーだけでは複数デバイスを利用しないとアカウントリカバリできないのは当初から言われていてfIDOでも検討されてるよ。パスワードレスの理想のための過激派な実装があるのも確かですけれども

    その他
    Falky
    アッすごいですね、ぜひ論文をお書きになってください

    その他
    dnasoftwares
    昔インディーズ候補の誰かのホームページで見たような文体だ……(中身は読んでないからもっとまともな人の論評待ち)

    その他
    dot
    長すぎて読む気が起きないが、メルカリとドコモのパスキーは仕様は満たしているのかもしれないが、クソ不便で何かがおかしいのは同意する。

    その他
    mag4n
    メモ帳何冊いるんみたいな量。

    その他
    fx702p
    こういう句読点の少ない文章、やたら句読点や空白を入れる文章と同じでなにか根本的な原因がある気がしている。

    その他
    rna
    筋は通っているように思えるけど脳内でアラートが鳴りっぱなしになる文章で怖い…

    その他
    napsucks
    パスキーはサーバ認証を機械的に行えるけどマジックリンクでも実現でるのはその通り。サーバ認証が不確実だと偶像崇拝に陥る。多くの2fAはクライアント認証の強化ばかり。運営の責任回避には良いが利用者は守られない

    その他
    Dursan
    パスキーはママの味ぃー

    その他
    vvvf
    定期的にこういう感情任せの歪んだ技術論を大声で怒鳴り続ける奴現れるけど、真剣に議論してるコミュニティを混乱・疲弊させる公害なので業界から排除されるべき

    その他
    spark64
    何がどうなっても、結局メールアドレスの登録と、それを経由したリカバリ手段はなくならんでしょ。

    その他
    deep_one
    なんで段落も見出しもないんだ?読む気が起きない。/そもそもパスキーオンリーなサービスなどないだろ。

    その他
    miki3k
    AIの実験に最適

    その他
    zakinco
    DNS浸透言うな問題と似た感じか?

    その他
    k12u
    実は近い問題意識を持っていると思うんだけど、評価とファクトが混ざりすぎてあまりに読みにくいので本当に近いかやや不安

    その他
    paradoxparanoic
    パスキーなんて大手ベンダーが得するだけの仕組み。パスワードに対する優位性がベンダー側にしかない

    その他
    tsutsuji360
    パスキーに親でも殺されたのか?

    その他
    klbym
    読もうとしたけど最初の方で諦めちゃった。ちゃんと論文形式で書いてくれると読む気になれそう。

    その他
    sora_h
    怪文章。完璧は無理でもパスワードよりはマシなんだよな。リカバリーコードがweakest linkなのもわかる。

    その他
    kobito19
    ひとつ前の記事 https://b.hatena.ne.jp/entry/s/falsandtru.hatenablog.com/entry/essence-of-passkey から何も情報増えてないような

    その他
    FreeCatWork
    パスキーって、ボクの肉球より安全かにゃ?心配だにゃー!

    その他
    yorkfield
    読む気にもならない酷い悪文を書いて、読めなかった人をこんなのも理解できないのかとバカにするメソッド。長文でも読みやすい記事はあるから、長さより構成能力の問題。

    その他
    iwanofsky
    う、うーむ🤔

    その他
    Rambutan
    これではただの独自研究なので、fIDOの仕様書を引用した上で批判してほしい https://fidoalliance.org/specifications/download/

    その他
    inmarsh
    筆者が大嫌いなAIで検証してもらった → この記事の告発には一理ある指摘も含まれるが、現代の標準化動向や公的セキュリティ評価と照らし合わせると、多くの主張は誇張・誤解・バイアスが含まれる。

    その他
    ryousanngata
    パスキーで狂いそうになったら読みたい。リカバリ方法を簡単にするとセキュリティレベルがそこまで落ちちゃうので、露出の少ないパスワードのような運用のリカバリコードは不便だけど妥当かなぁとは思ってます。

    その他
    toro-chan
    申し訳ないが、そのゴシック体で、しかも蛍光色しかない文書は、自動的に無知な人だと判定することにしてる。内容が正しいかは分からないが、パスキーはまだちゃんとは作ってないな。。まだ理解してないので

    その他
    sonots
    怪文書みが凄いが、サーバに侵入されて、パスキーの公開鍵をサーバサイドで無効化されると復旧できなくなるってことかな

    その他
    peketamin
    peketamin LINE長文派ワイ、婚活で苦労した理由がようやくわかった/パスワード認証を(多要素と組み合わせるなどして)残すべし、というのはOIDCでも見た気がする

    2025/12/01 リンク

    その他
    dltlt
    サービス側で1ユーザに対し複数の公開鍵を紐付けられないのかな?……一組の鍵ペアで済まそうとするのがまずいなら。|陰謀論風の箇所は冗談のおつもりなのでは。「不適切な実装を強いられればこうもなろう」的な?

    その他
    crybb
    スクロールバーが1ドットしかない/"Googleが標語をDon't be evilからDo the right thingに変えたのは要するにニュースピークとダブルスピークである…略…これ指摘したの俺が世界初か?Googleで検索してもなぜか出てこねえや"

    その他
    zkq
    マジックリンクで解決するそう。マジックリンクって何?

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    パスキー(fIDO)の安全性と脆弱性と破滅的欠陥 - falsandtruのメモ帳

    これはパスキー(fIDO/fIDO2)の安全性と脆弱性と破滅的欠陥そして正しい認証設計の最も包括的かつ総合的...

    ブックマークしたユーザー

    • ouj32025/12/05 ouj3
    • dnasoftwares2025/12/04 dnasoftwares
    • esuji52025/12/03 esuji5
    • fujihiro02025/12/03 fujihiro0
    • midas365452025/12/03 midas36545
    • keito_I2025/12/02 keito_I
    • wushi2025/12/02 wushi
    • dot2025/12/02 dot
    • donotthinkfeel2025/12/02 donotthinkfeel
    • yada200310252025/12/02 yada20031025
    • honeybe2025/12/02 honeybe
    • mag4n2025/12/02 mag4n
    • fx702p2025/12/02 fx702p
    • rna2025/12/02 rna
    • s90es2025/12/02 s90es
    • napsucks2025/12/02 napsucks
    • moritata2025/12/02 moritata
    • tkpyoi2025/12/02 tkpyoi
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.