野村證券がそんな感じのメールを送ってきていたな、今後ログインに必須になるのかな、と、野村證券のログインページを見てみたところ、「パスキー認証でログイン」みたいなボタンがあったので試しにクリックしてみたら、「USBを挿せ」みたいな物理なことを言ってきて、「えっ無理、持ってない」となり、ひとまず退散したのですが(読者様:「古代人め」)、
機械オンチって高血圧や発達障害と同じく作られるもの(=新しいハイテクを搭載すれば脱落者=機械オンチが増える)だと思う
その後いろいろ調べたところ、パスワードではなく生体認証なんかを使って認証する、従来より高いセキュリティを実現できる認証方法(FIDOアライアンスという謎の団体が提唱する、FIDO2という規格に基づく)、をパスキー認証と言うらしく、
サービス側には「公開鍵」、認証に使うこちら側のデバイスには「秘密鍵」が保存され、ログイン時にはサービス側が公開鍵で署名要求を出し、デバイス側が秘密鍵で署名して認証(=公開鍵暗号方式?)、という話な印象で(※仕組みをよく分かっていない人が書いているので、信用しないでください)、
こちら側の作業としては、公開鍵と対になる秘密鍵?を入れる用のデバイスとして、iPhoneやiPadやAndroid端末(と、Bluetooth搭載のPCのセット?)、またはUSBキー(はそれだけでいける?)を用意して、サービス側とあれこれしてパスキーを作成することで、
ただしiOS16未満だとパスキー非対応とか、パスキーはiPhoneの場合、「パスワード」というアプリに保存されるとか(なのでクラウドに上げる→クラウドのアカウント乗っ取られて終了、のリスクがあるらしい?)、USBキーについては、他社は分かりませんが楽天証券は今のところ、特定のメーカーの特定の型番のUSBキー(YubicoのYubiKeyシリーズの一部?)しか利用できないとか、そのあたりがみなかさんがネットを徘徊して見かけた噂です(真偽は不明)。
パスキーの作成方法を教えてください
https://faq.rakuten-sec.co.jp/90001282
パスキー作成に必要なものは何ですか?
https://faq.rakuten-sec.co.jp/90001285
先述の野村證券のやつで、みなかさんのPCはBluetooth非対応(だとあの画面が出るらしい?職場でクリックしてみたら先に進めそうな感じの違う画面が出たので、職場のPCはBluetoothに対応していたのか、ブラウザやその他の環境の違いだったのか不明)ということが判明し、あれば何かしらに使えそうだし最悪職場に寄付しちゃえばいいし、ということでBluetoothアダプタだけ買っておきました
「セキュリティキーをUSBポートに挿入します」という表示が出てパスキー認証ができません
https://faq.rakuten-sec.co.jp/90001337
パスキーを入れる端末?を何にするかなのですが、今のスマホはなんか、長年使っているからエントロピー高そうというか汚染されていそうというか、常に持ち歩くので紛失リスク高いのか、逆に空き巣とかには強くて安全(=家にないので)なのか分かりませんが、なんとなく気が進まない感じで、
ちょうどiPhoneの白ロムが1つ余っているので、それをパスキー専用スマホにしたらどうかと思いつつ、(SIMカードなしで)いけるのか不明&Appleアカウント作るときに入れる「修復用メールアドレス」みたいなのって、既存のメールアドレスを使うしかなく、結局まっさらとはいかないのが残念だし、何よりパスキー作成のFAQを見ていたときに出てきた、「iCloudキーチェーンを有効にする必要があります」という文言が気になり(=クラウド信用しない派)、
USBキーの「YubiKey」が調べた感じ、スウェーデンとかが作っていてガチそうだし、みなかさんUSBキーって電池で動いてると思っていて、電池切れ→肝心なときに使えないとか、電池切れ→業者に頼まないと電池交換できない→業者に秘密鍵盗まれる、みたいなのを想像していたのですが、USB給電でその心配はないそうで(ソ○ータイマーてきに、1日5回の利用で概ね18年使える、みたいな話はあるよう?)、
YubiKeyって何年使えるの?
https://www.yubion.com/post/howlongcanyubikeybeuse
そっちのほうがいいような気もしてきました(ただし、SBI証券はYubiKeyでいけそうな雰囲気の記事がヒットしましたが、楽天証券を除くそれ以外の証券会社が対応しているかは不明。FIDO2=当たり前にUSBキーが使えるので特に書いていないのか、対応していないから検索ヒットしないのか、の判断が今のみなかさんにはつかない、というかまだ本気で調べていない)。
パスキー認証や生体認証って安全性高いと思いきや、(クラウドのアカウント乗っ取られてあれとか、リアルタイムフィッシングで突破されるとかの)デジタルてきな話はよく分からないので抜きにしても、
パスキー認証必須なことが公表されている証券会社、のアプリなんかがスマホのホーム画面にあった日には、「秘密鍵入りの端末の可能性がある」と判断され、よくないことに巻き込まれないとも限らないし(電車の中でスマホのホーム画面見られる→証券会社のアプリがある→尾行される→拉致監禁されて椅子に縛りつけられて指をホームボタンに押しつけられ、お金を奪われるとか)、
タイムカードが指紋認証式な会社の場合、職場で資産額を言いふらそうものなら、勤怠管理システム内の指紋データ(と、たとえば「業務フロアには持ち込み禁止だから出勤時にロッカーへ」、のルールに従い、預けたスマホ)を使われてあれこれされちゃうとか(なんか、精度の低い指紋認証だと寒天とかで偽造指紋であれこれみたいな)、
旦那さんが投資で儲けていることを知った奥さんが、旦那さんの就寝中にこっそり顔認証(※目を開けて寝ている、メガネをかけて寝ている、「Face IDと注視」の設定をいじっている、等の場合に限る?不明)して証券会社から出金、夫婦共有の銀行口座だからキャッシュカードの暗証番号を知っていて、全額引き出して不倫相手とエスケープとか、
一般人は心配ないと思いますが、芸能人とかYouTuberとか顔のデータがネット上に豊富にある人の場合、マネージャーがスマホをくすねてAIや3Dプリンタや特殊メイク、でなんとかして顔認証をクリアして、お金をスティールしてオンラインカジノに突っ込むとか、
パスキー認証をよく分かっていない人が無知による恐れから極端な例を書きましたが、本人の脳内や本人以外ではまず見つけられない場所、に隠されたメモの中にしかない半角英数記号16文字よりも、スマホと指紋や顔、を手に入れるほうが人によっては(それこそトクリュウとか、パワー系の、手段を選ばない人たちからすると)簡単な場合もありそうというか、パスキー認証はパスキー認証でパスワード時代とは違ったリスク管理が必要そうで、
それがよく分からない(=まだあまり普及していない?ので。新開発の食品添加物みたいな状態)まま(絵文字認証や電話認証で証券口座乗っ取りがすでに減少傾向、という中で)パスキー認証導入するのちょっと怖いなというか、必要性どうなのというのが正直あったり、
みなかさんのお勤め先も実はタイムカードの打刻が指紋認証式なのですが、何年か前にひどい手湿疹になった際、指紋認証できなくなって困ったことがあり(その都度紙に時刻を書いて上司の印鑑をもらい、事務に提出していた)、生体認証ってちょっとした体の変化で使えなくなるトラウマがあるし(解除してPINコードや顔認証でパスキー作り直せばいいのですが)、
でも一部証券会社の一部取引、一部プラットフォームではすでにパスキー認証必須みたいなことにもなってきているようで、無理にでもついていかないとな雰囲気です、FeliCaでマイナンバーカードタッチで認証、のほうがe-Taxてきなインフラそのまま転用できてみんなありがたいと思うのですが、iPhoneやAndroid端末が必要になるあたり、またアメリカ親分のあれなのかもしれません。
