定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう (クレデンシャルスタッフィング) フィッシングサイトの中継により、ログインセッションが盗まれてしまう(MiTM, AiTM)
sizu.me/ritou/posts/5znc2xi28bvc
(1)「クライアント(を操作するユーザ)が通信相手は正しい事業者だと確認できて、かつ盗聴改竄不能な」通信路を確立し(2)続いてその通信路上でユーザ認証する。「公開鍵暗号で対策できた」となるのはこのケース
この記事をおすすめしました
暗号化はそもそも信頼関係のある二者の間で成り立つものだからそこのちょろっとそっくりなものを差し込まれたら終わりなのでは
“WebAuthnではサービスが指定するRP ID(ドメインやオリジンの値)が現在アクセスしているURLに(完全もしくは部分)一致しているかをブラウザが判断”
この辺はしっかり認識されて欲しいです。
“WebAuthnではサービスが指定するRP ID(ドメインやオリジンの値)が現在アクセスしているURLに(完全もしくは部分)一致しているかをブラウザが判断”