パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife

2024/12/19 109 users r-weblife 別件 生体認証 ハスキー ユーザー認証

ritouです。 最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ？リカバリ方法のないそんなもん使おうと思う訳あらへん。 別件では... 続きを読む

安全な認証のためにユーザーに使わせるべきは「パスキーも扱えるパスワードマネージャー」である - r-weblife

2024/12/17 73 users r-weblife リモート 認証 パスワードマネージャー

ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話しし... 続きを読む

パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife

2024/12/02 106 users r-weblife FIDO qiita.com 強制 現状

ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便... 続きを読む

公開鍵暗号方式だからフィッシング対策できるって意見、もうええでしょう｜ritou

2024/09/26 13 users フィッシングサイト フィッシング フィッシング攻撃 意見 課題

定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう ... 続きを読む

デジタル署名文脈での公開鍵暗号方式の誤解を避けるため、署名鍵/検証鍵という表現を使うというお話 - r-weblife

2024/07/13 18 users r-weblife haruyama 広義 文脈 誤解

ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19日 よくある誤解 最近、公開鍵暗号方式がデジタル署名文脈で使... 続きを読む

デジタル認証アプリとのID連携で使われている標準化仕様と勘所

2024/06/23 194 users 勘所 デジタル認証アプリ ID連携 OAuth OIDC

ritou です。 みんなが待っていたデジタル認証アプリの情報が公開されました。 開発者向けのガイドライン、APIリファレンスなどのドキュメントも公開されています。 今回は開発者視点でどんな作りになっていて、利用するために理解が必要となる標準化仕様はどのあたりなのかを取り上げます。ちょっとOIDCのRPやOAuthのCl... 続きを読む

パスキー対応における2つの段階と必要な機能

2024/01/28 19 users 段階 パスキー対応 機能 フィッシング リスク

パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る！ と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。と... 続きを読む

パスキーとID連携の認証フローの共通点から見る認証技術の基本

2024/01/03 94 users ハスキー ID連携 認証技術 共通点 基本

ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとし... 続きを読む

メールアドレスをキーにしてID連携を行う設計の危うさ｜ritou

2023/11/15 397 users キー ID連携 設計 メールアドレス dis

ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっています。 ※本件は問い合わせ済みであり、本サービスのdisを目的としているものではありません 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取... 続きを読む

PWA Night vol.57 ～認証・認可〜 にてパスキーの話をしました - r-weblife

2023/11/15 42 users r-weblife 認可 PWA Night 認証 ハスキー

ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブ... 続きを読む

パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~

2023/10/02 206 users パスワードマネージャー ハスキー 認証要素 考え方 指紋認証

ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単！けどこれ指紋認証だけ？弱くなってない？ SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない... 続きを読む

DroidKaigi 2023にてパスキーについて話しました

2023/09/15 7 users ハスキー 台本 同時通訳 株式会社mixi 開発本部

株式会社MIXI 開発本部 MIXI M事業部の ritou です。 DroidKaigi 2023にてお話しさせていただきました。 資料も公開しました。 今回も発表内容全部書き出してみたをやってみます。 同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。 ... 続きを読む

β公開された1Passwordのパスキー対応について調べてみた - r-weblife

2023/06/19 20 users r-weblife iCloud Keychain 公開

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートをしてきた中で、1Passwordが同様の対応をすること... 続きを読む

プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について - r-weblife

2023/04/27 11 users クレデンシャル passkey FIDOアライアンス 事例

おはようございます、ritouです。 何の話？ 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラットフォーム(など)のアカウントに紐づけられる仕組み Google Aut... 続きを読む

「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 230 users r-weblife k-tai.watch パスキー普及

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

Developers Summit 2023にてパスキーについて講演しました

2023/02/09 7 users ハスキー Developers Summit 2023

ritou　です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出し... 続きを読む

フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか - r-weblife

2022/10/09 11 users r-weblife 前者 フィッシング 我々 現状

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があります。 前者がうまいこと解決されると一番良いんでしょうけ... 続きを読む

FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife

2022/05/23 14 users FIDO プラットフォーマー r-weblife 最新動向

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時代はパスワードレス認証ですよと言い続けてはや数年経ちました... 続きを読む

FIDOアライアンスのUXガイドラインには何が書いてあるか - r-weblife

2021/07/02 8 users FIDOアライアンス r-weblife WebAuthn

おはようございます ritouです。 前の投稿でも取り上げたWebAuthnとかFIDO認証って呼ばれてる認証方式のお話です。 ritou.hatenablog.com 今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 fidoalliance.org FIDO UX Guidelines - FIDO Alliance UX GUIDELINE PDF - FIDO Alliance 一言で言うと... 続きを読む

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか - r-weblife

2021/06/14 14 users WebAuthn r-weblife WWDC2021

おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (... 続きを読む

ID連携の説明によく出てくる「セッションとの紐づけ」とは

2021/01/04 10 users 紐づけ セッション ID連携 Elixir 説明

ritou です。 ElixirのTwitter OAuthライブラリ "ExTwitter" の使い方 のようなID連携の説明において 「●●をセッションに紐づけて保存しておきます」 みたいな書き方をよくしますが、これがよくわからんので教えてくれとの質問がありましたのでここにまとめておきます。 特別なことは書いていません。 Webアプリケーショ... 続きを読む

OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

2020/11/30 895 users r-weblife OAuth認証 bot Tweet 初日

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife

2020/08/19 22 users IDaaS r-weblife 既存 REST API 注目

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感... 続きを読む

OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは？ - r-weblife

2020/04/30 5 users OIDC r-weblife セキュリティエンジニア 仕様

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていて... 続きを読む

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife

2019/12/02 14 users OIDC Binding qiita.com フロー 攻撃

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む