タグ r-weblife
人気順 10 users 50 users 100 users 500 users 1000 usersパスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife
ritouです。 最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ?リカバリ方法のないそんなもん使おうと思う訳あらへん。 別件では... 続きを読む
安全な認証のためにユーザーに使わせるべきは「パスキーも扱えるパスワードマネージャー」である - r-weblife
ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話しし... 続きを読む
パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife
ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便... 続きを読む
SPA+Backend構成なWebアプリへのOIDC適用パターン - r-weblife
ritouです。 マシュマロでSPA+BE構成のWebアプリでOAuthやOIDCしたい!って話をよくいただきます。 最近だと、こんな質問がありました。 OIDCから発行されたトークンの取り扱いについて質問させてください。 SPA +OIDC(認可コードフロー)構成によるWEBアプリケーションの開発を考えています。 idPによる認証後、バックエ... 続きを読む
デジタル署名文脈での公開鍵暗号方式の誤解を避けるため、署名鍵/検証鍵という表現を使うというお話 - r-weblife
ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19日 よくある誤解 最近、公開鍵暗号方式がデジタル署名文脈で使... 続きを読む
PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife
ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブ... 続きを読む
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です... 続きを読む
β公開された1Passwordのパスキー対応について調べてみた - r-weblife
こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートをしてきた中で、1Passwordが同様の対応をすること... 続きを読む
プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について - r-weblife
おはようございます、ritouです。 何の話? 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラットフォーム(など)のアカウントに紐づけられる仕組み Google Aut... 続きを読む
「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife
ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む
JWT カテゴリーの記事一覧 - r-weblife
おはようございます、ritouです。 こういう記事を読みました。 lab.astamuse.co.jp Webアプリケーションでセキュリティ対策のためにランダム文字列な文字列する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenIDに使用するnonce, state メールの… 続きを読む
フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか - r-weblife
ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があります。 前者がうまいこと解決されると一番良いんでしょうけ... 続きを読む
FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife
おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか? www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね!今回はFIDOの話をしましょう。 パスワード認証はもう終わり!時代はパスワードレス認証ですよと言い続けてはや数年経ちました... 続きを読む
FIDOアライアンスのUXガイドラインには何が書いてあるか - r-weblife
おはようございます ritouです。 前の投稿でも取り上げたWebAuthnとかFIDO認証って呼ばれてる認証方式のお話です。 ritou.hatenablog.com 今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 fidoalliance.org FIDO UX Guidelines - FIDO Alliance UX GUIDELINE PDF - FIDO Alliance 一言で言うと... 続きを読む
Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか - r-weblife
おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (... 続きを読む
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む
認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife
こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感... 続きを読む
OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife
お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていて... 続きを読む
JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方 - r-weblife
こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。 とりあえずライブラリ使えで終わりでは? JWTを扱うためには ... 続きを読む
OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む
Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む
GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife
どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watch.impress.co.jp 将来的には“Windows Hello”... 続きを読む
SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは - r-weblife
おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to b... 続きを読む
OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編 - r-weblife
ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Period for OpenID Connect Client Initiated Backchannel Authenti... 続きを読む
RFC6736として発行されたOAuth PKCEとは - r-weblife
おひさしぶりです、ritouです。今日は家で風邪治してましたが、TLに流れてきた次世代なんちゃらの話題に乗っかって、ざっくりとした仕様紹介です。ベンダー個別のパスワード管理には課税せよ!? 次世代Webカンファレンス『identity』 #nextwebconf #nextwebconf407 - TogetterまとめOAuth PKCEがRFC7636として発行されました。 | @_Nat Z... 続きを読む