ritouです。

この話です。

最近、パスキーどこに保存されてるかわかんない問題ってよく言われるがデバイス側でわからんって話はしょうがないので、サービスはaaguidからざっくり名前引いといて、定期的に登録されてるパスキー一覧つってメールで送ったったらええよ。件名はねんきん定期便にならってパスキー定期便でどや。

— 👹秋田の猫🐱 (@ritou) 2024年9月12日

にぎやかしではなく、わりと真面目にやってもいいなと思っています。

最近どっかで見た課題

• なんとなく使ってみるとパスキーどこに保存されてるかわからなくなる問題
  • 登録時のUIよくわからないよ、とか同期されたりされなかったりとか、ブラウザや端末、パスワードマネージャーの設定から一覧がみえないやつがあったりとかで結局どこに保存されるのかがわからなくなる人もいるという話
• 同期しないとかHybrid Transportの向きとかでどん詰まりになるルートがある問題(いわゆるパスキーラビリンス by kokukuma 氏？)
  • 知ってる人は「同期するやつ使ってたら気にならないし、モバイル端末にパスキーがあるなら Hybrid Transport で...」と考えてしまうが一般ユーザーはそうはいかんやろと言う話

このあたりは時間が解決するのかなと思う部分はありつつも、そのうち理想的な状態になるから待っとれとも簡単には言えない状態です。 「パスキーのUXはダメだ。パスワードマネージャー使ってる方がいいよ」みたいな大物の記事などもありますが、「そこまでロールバックしなくてもええやろ、特に前者について何かできることはないのか？」というのがこの記事の内容です。

パスワードとパスキーのサービス側の管理面における違い

一般的に、サービスはユーザーに対して１つのパスワードをひも付けて管理します。サービスの内容によってはメーラーなど、サードパーティーアプリケーションでのリスク軽減を目的として使われるアプリパスワードと呼ばれるものがありますが、それは複数の管理となっています。(Blueskyなどで使われていることを知っている人もいるでしょう)。そして、パスワードがどこに管理されているか(記憶、パスワードマネージャー、もしくは付箋なのか)をサービスは基本的に知りません。

パスキーの場合はあるユーザーに対して複数のパスキーを管理するのが一般的です。名前についてユーザーにつけさせたり、aaguidという識別子を用いてパスキーの名前を引いてつけたりします。このaaguidから引ける名前などの情報、これを使えばざっくりとパスキーがどこで管理されているかをサービスが認識できるかもしれません。

パスキー定期便

この記事の趣旨は、パスキーの管理面における特徴を用いて、サービスがユーザーに対して「あなたの登録済みパスキーの状況」というのを教えてあげたらどうか、という提案となります。

QiitaとかMediumとか使っていると、記事へのリアクションのまとめがメールで送られてきたりします。 そんなノリで、パスキーの状況についてもユーザーにお知らせすることでいざサービスを使おうと思ったときに「この端末にはないけどあれにはある」みたいな気付きを与えられるのではないかと考えます。

具体的にはサービスのパスキー管理画面で表示しているような

• 現在設定されているパスキーの個数
• 登録日時や最終利用日時
• aaguidから引いたパスワードマネージャーなどのAuthenticatorの名前、ユーザーがつけた名前

と言ったあたりの情報で良いと思います。これらを定期的にメールで送ってみるというものです。 コンテンツの長さを考えると、SMSだと厳しいですね。

パスキーを登録したタイミングで通知が来ることもありますが、「パスキー？どこで登録したんや？」って状態においてそれを掘り返すのはなかなかしんどいでしょう。かといってログインして一覧を見ようにもそのログインするためのパスキーがわからん場合は困りますよねと。なのでちょいちょい送っておけば何かに気づいてもらえる可能性はあるでしょう、という考えです。

何かが使いづらい時、その理由がブラウザ、パスワードマネージャーの仕様であればそれを改修してもらうのは骨がおれる話ですが、サービス側だけでできる試作として考えてみてはいかがでしょうか。

ではまた。