パスキーはパスワードを置き換え、フィッシング攻撃に対抗するように設計されているが、GoogleとMicrosoftの両社は、脆弱な回復方法が続く場合には不十分であると警告している。 Microsoft は、「各アカウントの安全性は、その最も弱い認証情報と同じである」と述べ、パスキーを実装した後でも、パスワードと SMS 回復オプションが新たな攻撃対象領域となる可能性があることを示しました。
Google は、パスワードや他の従来の多要素認証方法と比較して、パスキーによりオンライン アクセスが簡単かつ安全になることを認めています。ただし、紛失したパスキーを悪用する可能性のあるなりすましの試みから保護するために、ユーザーは 2 段階認証 (2SV) でアカウントを保護する必要もあると同社は警告しています。
自動回復プロセスの脆弱性により、攻撃者が弱い資格情報を利用してパスキーを完全にバイパスする可能性があります。 Microsoft によると、パスキーの導入によりサインインのセキュリティは強化されますが、多くのアカウントには引き続きパスワードまたは SMS 回復オプションがリンクされており、潜在的な攻撃対象領域が維持されています。 Microsoftは「パスキーを導入することでサインインが改善される」と述べ、脆弱な回復方法がもたらすリスクを強調した。
最適な回復ソリューションには、別のデバイスでアカウント パスキーを使用することが含まれます。 Microsoft はまた、優れた回復方法には政府発行の ID と生体認証の提示が含まれており、高確実な回復に関する NIST の推奨事項に沿っていると述べました。
Microsoft は主に企業ユーザーを対象としたガイダンスを提供していますが、Google は家庭ユーザーに重点を置いています。この違いにもかかわらず、両者は Gmail のようなサービスが依然としてサイバー犯罪者にとって魅力的な標的であることを認めています。 Google は、特に攻撃者がアカウント回復プロセスを悪用するリスクを考慮して、不正アクセスに対する保護を強化するために 2SV を実装することをユーザーに推奨しています。
Google は、Google プロンプトとモバイル デバイス上の認証アプリという 2 つの特定のタイプの 2SV を使用する必要性を強調しています。 GoogleとMicrosoftはいずれも、SMSワンタイムコードを脆弱な形式の多要素認証として分類し、より安全な代替手段を優先して完全に無効化すべきであるとして、SMSワンタイムコードに依存しないようアドバイスしている。
パスキーの採用は増加しているが、その有効性はユーザーがフィッシング可能な資格情報を完全に排除するかどうかにかかっているとマイクロソフトは警告している。 Googleは、パスキーは重要な開発ではあるが、特に攻撃者が回復フローやフォールバック認証方法をターゲットにすることが増えているため、絶対確実なソリューションではないと強調している。
