パスキーは多要素認証か

持論は「一般的な実装であれば多要素認証であるが、サービス提供側の意図と関係なく、利用者側において一部を没却させたり放棄することも可能。また所有認証の確かさは利用者のリテラシーによっては高くない」

パスキーの一般的な実装としては、
「認証情報を持っている（デバイスがある：所有認証）」
+
「PINがわかる（知識認証）」or「生体認証を通した」
と、多要素認証を前提としているが、この実装はサービス提供側が担保したものではなく、デバイスが提供している要素が大きい。

持論前段について
例えばiPhoneがなにかの気の迷いでPIN無しで認証通すような実装したって、サービス提供側にはわからない。所有認証以外は認証されていることが担保されない。
あるいは、利用者が勝手に生体認証を求めないようなシステムを作って使うこともできるはずで、やはり担保としては薄い。

持論後段について
キーチェーン利用時に安全な認証情報共有に配慮しているのはわかる。ただどうしても元となるGoogleとAppleの各アカウントのセキュリティレベルに引っ張られてしまう。特にGoogleは二段階認証をオンにしてないと知識認証あるいは簡素な所有認証のみになってしまう（私はオンにしてるので試してないが、そのような説明を見かける）。利用者側のリテラシーが問われるところと言える。


まあそれでもパスキーは従来方式のパスワードを用いるものと比べれば安全ではあると思う。
1.人間が覚えられる程度のパスワード（辞書攻撃等に脆弱）
↓
2.文字種桁数が最低限人間には到底覚えられないレベルのパスワードをパスワードマネージャーで管理（ブルートフォースで突破される可能性が否定できないがリスクは低く、自主的多要素認証みたいなもん）
↓
3.パスキー
現代社会、2,3のどちらかは必須だろうなって思う。


ただし。
どれだけ頑張っても、ログイン方法再設定があまりにも脆弱なサービスが多くて困るよねえ。メールで認証コード送付って、認証手段として下の下だろ。SMSも怪しいぞ。