認証方式のフォールバック/リカバリー方法の選定において考慮すべきユーザーの状態

ritouです。

kokukumaさんがパスキーのリカバリーについて考察されていました。

qiita.com

サービスがパスキーを利用 -> フィッシング耐性を必要とする前提において

複数の認証方式を利用可能にしておいてフォールバック
ユーザー自身でできるリカバリー
CS問い合わせ

を用意する際にどう考えたらいいかが整理されています。

フォールバック、リカバリーの基本的な概念について自分が書いた記事を読んで貰えば、少し理解が進むと思います。

zenn.dev

今回は、このように検討されて提供されるフォールバック/リカバリーの仕組みが適切なのかどうかの判断においてもう一つ重要となる、これが必要となった際のユーザーの状態を考えてみます。

当然ながら、これはパスキーに限った話ではありません。

考慮すべきユーザーの状態

ユーザーの状態を考えるにあたり「あるサービスをユーザーがどの環境で利用しているか」を意識しましょう。当然ながら、サービスの提供スタイルによって

(1つ|複数)のPCから利用
(1つ|複数)のモバイル端末から利用
(1つ|複数)のPCと(1つ|複数)のモバイル端末で利用

といった状況が考えられます。

例えばモバイルアプリのみで提供されるmixi2であれば(1つ|複数)のモバイル端末で利用、 LINEのようにモバイルアプリケーションは1つに制限されているが(複数の)PCからも利用可能といった違いがあります。メルカリはどうでしたっけ？

当然、そのようなサービスを利用するユーザーの利用スタイルも

(1つ|複数)のPCを利用
(1つ|複数)のモバイル端末を利用
(1つ|複数)のPCと(1つ|複数)のモバイル端末を利用

と様々になるわけです。

ここから、一番クリティカルな状況と考えられる「モバイル端末が(全て)利用できなくなった」状態ではどうなるのかに注目します。

「モバイル端末が(全て)利用できなくなった」らどうなるのか

いわゆる所持情報を利用する認証方法やリカバリー方法のうち、モバイル端末に依存するものがいくつかあり、今後も増えることが考えられます。スマートフォンを紛失、盗難、故障などで手元で利用できなくなった場合、その時点で利用できなくなるものがあります。

SMS OTP
キャリアメールを用いたEmail OTP/Link
回線認証
モバイル端末に保存されたリカバリーコード
モバイル端末にインストールされたアプリによるポチ
今後出てくるDigital Identity Wallet関係も?

これらの内訳となると、一時的に使えないものと恒久的に使えないものがあります。

一時的なもの
- キャリアのアカウントやプラットフォーム、3rd Party Password Managerのアカウントに関連するもの
- ログイン済み/設定済みのモバイル端末を利用するもの
恒久的なもの
- 個々の端末にしかデータがないもの

前者は新しい端末にアカウントを設定することで復活することができますが、どれぐらいの期間で元通りになるかは個別に事情が変わるでしょう。キャリアのアカウントの認証自体が理想的とは言えない状況ではショップに身分証を持ち込む方が早いかもしれません。プラットフォームアカウントについても、同一プラットフォームの別端末の有無などによって違いが出ることがあります。 3rd partyのパスワードマネージャーなどでは認証に既存のデバイスを利用するものもあります。それが失った場合はリカバリーに時間がかかることはあり得ます。

後者はパスキー以前のFIDOクレデンシャルの話と同じです。 Digital Identity Walletに保存されたVCの扱いはこの辺りどうなるのでしょうか？動向にも注目ですね。

サービス側としては、自身が提供するサービスにおいてモバイル端末が利用できない状況において