パスキーの特徴は、認証（ログイン）に使うためのもので、通常はそれだけが認証方法じゃないってことだと思う。パスワードやパスキー、2FAの方法を削除しても、「パスワードを忘れた」フローを通ることができるからね。暗号化は違うよ。生成したパスワードでデータを暗号化してから削除したら、もうおしまいだし、パスキーも同じ。著者は、ユーザーがパスキー自体が復号に必要だってことに気づいていないかもしれないって言ってると思う。ログインと強く結びついているからね。

覚えておけるけど、生成されたパスワードを使わない方がいいってこと？強い生成パスワードも、パスフレーズにすれば覚えやすいよ。同じエントロピーで、覚えやすさがアップするしね。

生成されたパスワードは便利だけど、管理やセキュリティの面で課題があるよね。パスワードマネージャーや生体認証みたいなアプローチを採用する方が、使いやすさを保ちながらセキュリティも強化できると思う。

パスキー管理ツールが、パスキーを削除するとデータが永久に失われる可能性があることを明確にしていないのが問題だと思う。

知らされていないのと、知らされているけど無頓着なのは大きな違いがあるよね。

パスキーのセキュリティのポイントは、プライベートキーを送信する必要がなくて、デバイスに留めておけることだと思ってた。デバイスごとに異なるパスキー。デバイスを失ったり壊したりしたら、そのパスキーを削除して次に進めばいい。

春の大掃除についてはわからないけど、パスワードマネージャーではなくブラウザやOSに接続して設定すると、うっかり削除しちゃうのは結構簡単だよね。とはいえ、サイトごとに複数のパスキーを持てると思ってたけど、そういうのをちゃんと扱ってくれるサイトはあまりないみたい。

パスキーを実装しているほとんどのパスワードマネージャーは、アカウントエントリーごとに1つのパスキーしか許可していなくて、サイトごとに複数のパスキーを持ってしまったことがあるんだ。サイトは1つしかサポートしていないのに、新しいパスキーを作成すると他のものが削除されちゃうから、どのエントリーが安全に削除できるのか分からない状況に陥ったことがある。これは通常、依存先やパスワードマネージャーのバグによるものだけど、実際に起こることなんだよね。

埋め込みウェブビューは本当に最悪だよ。昨日、チェックアウトの途中まで行ったのに、別のアプリで何かを確認するために戻ったら、ウェブビューが消えちゃって、チェックアウトを終わらせる気にならなかった。これはAndroidでの話。普段はChromeで開くけど、今回はウェブビューだって気づかなかったんだ。

クラウドで使うのが大丈夫なら、どこでもBitwardenを使えばいいよ。

だから、私はそれを避けてるんだ。活動を指紋で追跡される追加の手段だし、パスキーをデバイスから別のデバイスに移すシナリオは、あんまりうまくいってない気がする。

最近書いた別の問題もあるよ: https://cedwards.xyz/passkeys-are-not-2fa/

パスキーがビットワーデンみたいなパスワードマネージャーより優れてるとは思えないんだよね。ランダムなパスワードの方がいいと思うし。

iOSやmacOSのパスキーは、その点ではかなりうまく機能してるよ。少なくとも私の経験では、ウェブやアプリなど、選んだプロバイダーに保存される。私の場合はBitwardenを使っていて、ほぼすべてのプラットフォームで利用可能だし、利用可能なところではネイティブで（今のところmacOSは除く）、ブラウザ拡張としても使える。Bitwardenにログインしていないコンピュータでパスキーを使って認証する必要がある珍しい場合には、QRコードをスマホでスキャンしてBitwardenで認証するクロスデバイスのCaBLEフローがある。これがOSやブラウザを超えて機能するんだ。

俺はiOSのウォレットを全部使ってるよ。唯一の例外は、iPhoneやMacの外で絶対に開かなきゃいけないものだけ。そういう時はBitWardenを使うけど、実際にはそのサンドボックスの外で開くアプリは必要ないって分かった。Macで開ければそれでいいし、Linuxでもいつでもパスワードを入力できるからね。結局、BitWardenはそのためのものだし。

そうだね。俺はそれが嫌いだ。彼らが解決しようとしてる問題は分かるけど、こっちの作業が増えてるだけな気がする…正直、何が起こってるのかも時々分からなくなるし。最近新しいコンピュータに移行したけど、まるでAUTHHELLSCAPEだよ。

残念ながら、今は一部のベンダーがパスキーを必須にしてるよ。具体的な例としては、https://www.healthequity.com > 2025年10月から、パスキーでのログインが完全に導入されて、Health Savings Accounts (HSAs) や Reimbursement Accounts (RAs) を持つメンバーには必須になったんだ。HealthEquityのモバイルアプリやウェブ体験を使う場合ね。https://help.healthequity.com/en/articles/11690915-passkey-f... FAQはちょっと誤解を招く表現があって、「アカウントにパスキーがあるときはこうこう」って言ってるけど、実際は10月以降は完全に必須になったから、バイパスも例外もなしで100%適用されるよ。あ、ちなみに、パスキーはPC/LinuxでFirefoxを使うと数ヶ月前から壊れてるんだよね。 > 問題が発生しました：ログインサービスに接続中にエラーが発生しました。数分後に再試行してください。すごいね。ChromeかEdgeを使わないといけないよ... 数ヶ月間、必須にした後でね。

KeepassXCはエクスポート可能なパスキーがあるから、少なくとも盗まれるケースは避けられるよ。

自分でホストしているvaultwardenでのパスキーは大好きだけど、高齢者向けのUXはまだまだって感じだね。

それに、パスワードがパスキーになることもあるし、パスキーのプロトコルは基本的にサーバーに認証された公開鍵を送る方法なんだ。クライアントはパスワードを決定論的にキー・ペアに変換して、それで認証できるかもしれない。

デバイスに縛られるからじゃない？だから、少なくとも2つのハードウェアパスキーを持つか、リカバリーコードを用意するのが良いって言われてるんだよね。誰かがスマホやノートPC、YubiKeyを盗んでも、家の引き出しにあるNitroKeyを使ってアカウントを復元できるからさ。

デバイス/iCloud/Gaiaアカウントに縛られるから、盗まれたり禁止されたりしたら運が悪いよね。これがパスキーについてよく聞く最大の神話というか誤解だと思う。パスキーはパスワードと同じような認証情報なんだ。忘れたら、メールにリンクが送られてきてリセットの流れを経るだけで、新しいのを設定できるよ。もしGmailアカウントにロックアウトされても、パスワードでもパスキーでも、同じGoogleアカウントリカバリーの流れを通る必要があるんだ。

私もパスキーには完全に反対だね。安全なパスワードと良いパスワードマネージャーの方がずっといいし、どのプラットフォームにも縛られないから。ログイン時にパスキーを追加するようなサイトが増えてるのを見ると、本当に悲しい。

彼らはあなたをデバイス/iCloud/Gaiaアカウントに縛り付ける。 じゃあ、AppleやGoogle、あるいはGaiaをパスキーのプロバイダーとして使わなければいいんじゃない？ お母さんはそれが何か、どう使うか分からない。 お母さんのためにBitwarden、1Password、またはKeepassXCを設定してあげれば、プラットフォームロックインを防げるよ。 これは認証済みハードウェアソフトウェアと目の前の道を一歩進めることになる。 最近大手テックが推している同期パスキーの実装は、認証をサポートしていないから、これはただのFUDだよ。Yubikeyはサポートしてるけど、幸いにもそれが全てのパスキーに必須になるほどの（非企業向けの）重みはないみたい。

あなたが考えてるのはハードウェア認証器で、パスキーじゃないよ。パスキーは定義上、クラウドで同期されてバックアップされるからね（そうじゃなきゃ、ただのWebAuthN認証器になっちゃう）。独自のクラウドや同期バックエンドは問題を引き起こすけど、少なくとも各サービスに対して2つの異なるセキュリティキーを登録する必要があるって問題は解決してくれる。

正直言って、GoogleやAppleが私のプライベートデータやパスキーを持っていくのは構わないよ。 それが今できることだよ！ 身分証明書を見せれば、新しい電話を設定できるはず。 電話番号を見せる必要があるけど、それが今の時代の「身分証明書」だよね。でも、確かにそれで戻れるよ。

家族がパスキーに強制されて、新しいデバイスを手に入れたせいでアカウントにアクセスできなくなることを本当に心配してる。 iOSもAndroidも、デフォルトでパスキーをそれぞれのクラウドアカウントに同期するからね。（もちろん、そのアカウントへのアクセスを失ったり、家族間で共有して混乱を招いたりするのはまだ懸念事項だけど。）本当の問題はロックインで、これが家族全体がiOSからAndroidに切り替えるのを効果的に妨げることが多い。だから、家族の技術設定を管理している人には、1PasswordやBitwardenのようなプラットフォームに依存しないパスキーの実装を選ぶことを勧めるよ。

PRFのアイデアは「いくつかのキーの一つとして使う」って感じだったと思うけど、「唯一のキーとして使う」ってことはなかったんじゃないかな。仕様書に明記されてたかは分からないけど。

このパスキーは認証だけじゃなくて暗号化にも使われるから、削除前に適切な警告を出せるように。 それは合理的なアイデアだけど、完全に削除されたり壊れたりした認証器、例えばAppleやGoogleのアカウントやYubikeyを失った場合には役に立たないよね。私が考える大規模な普及のための唯一の実現可能な解決策は、PRFをアクセスを取り戻すためのいくつかの方法の一つに制限することだと思う。いくつかのパスワードマネージャーはこれをやっていて、例えばマスターシークレットをPRF由来のキーで暗号化してるけど、マスターシークレットにアクセスするための唯一の方法ではないし、印刷したキーのバックアップを推奨してるよ。

実際に必要なのは、WebAuthnの仕様に「このパスキーは認証だけじゃなくて暗号化にも重要だよ」っていう信号を含めることだよね。そうすれば、削除する前に適切な警告を出せるようになる。今のところ、クレデンシャルマネージャーはすべてのパスキーを同じように扱ってるから、なんか責任逃れみたいに感じる。もしサービスが、パスキーを失ったらデータが全部消えちゃうように設計されてるなら、「そのパスキー、絶対に失くさないでね！」って警告は最低限必要だけど、根本的な問題は解決しないよね。最初の提案である「永続データの暗号化にはパスキーを使わない方がいい」っていうのは、もっと理にかなってると思う。(あるいは、隣のコメントが言ってるように、暗号化を設計する際に復号用の代替キーを用意するってことね。)

そもそも、なぜ「整理」してるの？ Windowsやsystem32フォルダを整理してるのと同じ理由だよ。

彼らが誤って削除（またはアクセスを失う）する可能性が高いね。私の経験では、実際にパスキーがどこに保存されているかを理解しているユーザーはほとんどいないし、いろんなところに散らばってる。私がよく受ける質問は「なぜログインできないの？」っていうもので、これはある機械でパスキー設定のダイアログを読まずに受け入れてしまった結果、別の機械ではログインできなくなることが多い。時には同じ機械でも異なるコンテキストで起こることもある。パスキーは、普通のユーザーが確実に保持できるものとは考えられない（業界がユーザーに押し付けるのに熱心だけど、どうやって機能するかを教育することにはあまり熱心でないから）。これがセキュリティの観点からもあまり役に立たない理由でもある。なぜなら、リカバリープロセスを排除できないからで、これが弱いリンクになることが多いから。

今のところの問題は、UIとデバイスやOS間の互換性だね。パスキーやE2E暗号化のためのPRFのアイデアは大好きなんだけど、今の状態ではパスキーの管理や回復方法がほぼゼロだから、実装する気にはなれない。仕事でコンピュータを切り替えなきゃいけない（強制ポリシー）し、電話も古くなったら変えなきゃいけないし、OSを跨いで作業したいとき（仕事はMac、遊びはWindows）も、すべてが崩壊する。インターフェースは理解不能だし、透明性や管理もまったくない。私はこの標準がどう機能するかを勉強したプロユーザーだけど、パスワードがなくなるのは数十年先になるんじゃないかと心配してる。

自分はパスキーについて結構詳しいと思ってる（WebAuthNのトイ実装を一度書いたことがあるから）、それでも時々つまずくことがあるんだよね。意図的な削除じゃなくて、偶然の上書きで。私の理解では、WebAuthNを使ってアカウントごとにパスキーのユニーク性を強制する方法はいくつかあるけど、時々、あるサイトが私のためにすでに利用可能なパスキーがあることに気づかず、新しいものを作成する提案をしてくることがある。その時、私のパスワードマネージャー（Bitwarden）が古いパスキーを上書きしちゃうんだ。で、同期の不具合（パスワードマネージャーのストレージと依存先のバックエンドの更新が原子的でない）を考えると、パスキーが失われる可能性があるのが怖い。

この前の週末、母がChromeのパスワードマネージャーを見つけて、すぐに認識できないエントリーを全部削除し始めるのを見てた。「これ何？必要ないよ」って。理由があってそこにあるのに、ストレージもゼロだから大丈夫だよって頼んでも、彼女はこれらのパスワードは必要ないって確信してた。だから、パスキーを削除しちゃうのも十分理解できる。母は基本的にエリカみたいで、提示されたアクションごとに非常に明確な意味を示さないと、自然に理解することを期待しちゃダメなんだよね。