FIDO2とパスワードマネージャ利用の比較　～パスワードレスな時代～

　最近「パスワードレス」が広まってきており、その中でも安全性と利便性を両立したFIDO認証が注目されてきている。
　一方で、現実問題としてパスワード方式の認証が無くならない中で、パスワードを自分で記憶するのではなく、パスワードマネージャの利用を推奨する流れも出てきている。

　この二つの安全性の差異をざっくりと比較した絵が見当たらなかったので描いてみる。
　結論としては、パスワードマネージャでも疑似的なFIDO2が実現できてるので、「猫も杓子もFIDO2にしよう！」というよりは、それほど重要じゃないサービスはパスワードマネージャが良い落としどころかなというところです。（FIDOで発生する端末ごとの証明書管理とか大変そうなので）

従来のパスワード方式の課題

　上図のように、基本的には偽のサイトに入力してしまったり、簡単或いは使いまわしのパスワードを利用していると不正にログインされてしまう。
※ログインページに脆弱性があったり…といった点も重要な観点だが、利用者による対策が出来ない点なので、ここでは考慮しないものとする。

利用者にとって難しい点は以下のように言い換えれる。
・サイトが本物か偽物か正確に見分けられない
→ドメインが正しいか常にちゃんと判断するのは意外と難しいので、”それっぽい”偽サイトに、ついついパスワードを入力してしまう

・複雑なパスワードを記憶できない
→ついつい覚えやすい簡単なパスワードにしてしまう

・複数のパスワードを記憶できない
→ついつい複数のサービスでパスワードを使いまわしてしまう

FIDO2とパスワードマネージャ（とおまけにTOTP）

　FIDO2だと、利用者が使用する端末ごとに安全な場所に秘密鍵を格納し、その秘密鍵を使用するので、パスワード方式での課題が解決されている。

　パスワードマネージャでも、使用時に指紋認証を必須とすることができる場合は、FIDO2と似たようなことが実現できている。
　特に覚える気が無い複雑なパスワードを生成しておいて、パスワードマネージャサービスに全部ぶん投げる方が、下手なことをするより安全になると考えられる。

　ただし、パスワードマネージャの自動補完機能の問題で補完して欲しくない場合にも補完される可能性や、パスワードマネージャサービスが攻撃される可能性、複雑なパスワードが設定できないサービス…といった事も考えられるので、FIDO2の方が安全にはなるはず。

　よく見るQRコードを読み込ませて、ワンタイムパスワードを生成するタイプは、実質的にはサイト側で複雑なパスワードを生成してもらっているような状態となっている。
　ただ、複雑なパスワードを入力するのが面倒なので、時刻とあわせてコネて、刻々と変わる6文字くらいの数字を入力すれば良くなっている。
　パスワードは下手に自分で生成しない方が良いという感じ。

　以上、ざっくりとみてみると、左程重要ではないサービスでは、FIDO2とかにも取り組んでいる安全性が高いパスワードマネージャサービスにぶん投げてしまうことで、実質的にパスワードレスな状態が作れそう。