はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ ritou

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 25 / 32件)

パスキー対応における2つの段階と必要な機能

2024/01/28 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip 段階 パスキー対応 機能 フィッシング リスク

パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。と... 続きを読む

パスキーとID連携の認証フローの共通点から見る認証技術の基本

2024/01/03 このエントリーをはてなブックマークに追加 94 users Instapaper Pocket Tweet Facebook Share Evernote Clip ハスキー ID連携 認証技術 共通点 基本

ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとし... 続きを読む

メールアドレスをキーにしてID連携を行う設計の危うさ|ritou

2023/11/15 このエントリーをはてなブックマークに追加 397 users Instapaper Pocket Tweet Facebook Share Evernote Clip キー ID連携 設計 メールアドレス dis

ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっています。 ※本件は問い合わせ済みであり、本サービスのdisを目的としているものではありません 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取... 続きを読む

PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife

2023/11/15 このエントリーをはてなブックマークに追加 42 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife 認可 PWA Night 認証 ハスキー

ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブ... 続きを読む

パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~

2023/10/02 このエントリーをはてなブックマークに追加 206 users Instapaper Pocket Tweet Facebook Share Evernote Clip パスワードマネージャー ハスキー 認証要素 考え方 指紋認証

ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない... 続きを読む

DroidKaigi 2023にてパスキーについて話しました

2023/09/15 このエントリーをはてなブックマークに追加 7 users Instapaper Pocket Tweet Facebook Share Evernote Clip ハスキー 台本 同時通訳 株式会社mixi 開発本部

株式会社MIXI 開発本部 MIXI M事業部の ritou です。 DroidKaigi 2023にてお話しさせていただきました。 資料も公開しました。 今回も発表内容全部書き出してみたをやってみます。 同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。 ... 続きを読む

β公開された1Passwordのパスキー対応について調べてみた - r-weblife

2023/06/19 このエントリーをはてなブックマークに追加 20 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife iCloud Keychain 公開

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートをしてきた中で、1Passwordが同様の対応をすること... 続きを読む

プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について - r-weblife

2023/04/27 このエントリーをはてなブックマークに追加 11 users Instapaper Pocket Tweet Facebook Share Evernote Clip クレデンシャル passkey FIDOアライアンス 事例

おはようございます、ritouです。 何の話? 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラットフォーム(など)のアカウントに紐づけられる仕組み Google Aut... 続きを読む

「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 このエントリーをはてなブックマークに追加 230 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife k-tai.watch パスワード認証

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

Developers Summit 2023にてパスキーについて講演しました

2023/02/09 このエントリーをはてなブックマークに追加 7 users Instapaper Pocket Tweet Facebook Share Evernote Clip ハスキー Developers Summit 2023

ritou です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出し... 続きを読む

フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか - r-weblife

2022/10/09 このエントリーをはてなブックマークに追加 11 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife 前者 フィッシング 我々 現状

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があります。 前者がうまいこと解決されると一番良いんでしょうけ... 続きを読む

FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife

2022/05/23 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip FIDO プラットフォーマー r-weblife 最新動向

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか? www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね!今回はFIDOの話をしましょう。 パスワード認証はもう終わり!時代はパスワードレス認証ですよと言い続けてはや数年経ちました... 続きを読む

FIDOアライアンスのUXガイドラインには何が書いてあるか - r-weblife

2021/07/02 このエントリーをはてなブックマークに追加 8 users Instapaper Pocket Tweet Facebook Share Evernote Clip FIDOアライアンス r-weblife WebAuthn

おはようございます ritouです。 前の投稿でも取り上げたWebAuthnとかFIDO認証って呼ばれてる認証方式のお話です。 ritou.hatenablog.com 今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 fidoalliance.org FIDO UX Guidelines - FIDO Alliance UX GUIDELINE PDF - FIDO Alliance 一言で言うと... 続きを読む

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか - r-weblife

2021/06/14 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip WebAuthn r-weblife WWDC2021

おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (... 続きを読む

ID連携の説明によく出てくる「セッションとの紐づけ」とは

2021/01/04 このエントリーをはてなブックマークに追加 10 users Instapaper Pocket Tweet Facebook Share Evernote Clip 紐づけ セッション ID連携 Elixir 説明

ritou です。 ElixirのTwitter OAuthライブラリ "ExTwitter" の使い方 のようなID連携の説明において 「●●をセッションに紐づけて保存しておきます」 みたいな書き方をよくしますが、これがよくわからんので教えてくれとの質問がありましたのでここにまとめておきます。 特別なことは書いていません。 Webアプリケーショ... 続きを読む

OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

2020/11/30 このエントリーをはてなブックマークに追加 895 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife OAuth認証 bot Tweet 初日

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife

2020/08/19 このエントリーをはてなブックマークに追加 22 users Instapaper Pocket Tweet Facebook Share Evernote Clip IDaaS r-weblife 既存 REST API 注目

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感... 続きを読む

OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife

2020/04/30 このエントリーをはてなブックマークに追加 5 users Instapaper Pocket Tweet Facebook Share Evernote Clip OIDC r-weblife セキュリティエンジニア 仕様

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていて... 続きを読む

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife

2019/12/02 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip OIDC Binding qiita.com フロー 攻撃

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 このエントリーをはてなブックマークに追加 397 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife JWT Webアプリケーション 考え方

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~ / builderscon tokyo 2019 ritou - Speaker Deck

2019/08/30 このエントリーをはてなブックマークに追加 69 users Instapaper Pocket Tweet Facebook Share Evernote Clip FIDO WebAuthn Speaker Deck

WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~ / builderscon tokyo 2019 ritou 続きを読む

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife

2019/08/22 このエントリーをはてなブックマークに追加 98 users Instapaper Pocket Tweet Facebook Share Evernote Clip GitHub WebAuthn r-weblife 夢中 実装

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watch.impress.co.jp 将来的には“Windows Hello”... 続きを読む

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編 - r-weblife

2018/12/30 このエントリーをはてなブックマークに追加 23 users Instapaper Pocket Tweet Facebook Share Evernote Clip OpenIDファウンデーション r-weblife 仕様

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Period for OpenID Connect Client Initiated Backchannel Authenti... 続きを読む

OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife

2014/09/27 このエントリーをはてなブックマークに追加 89 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife Access Token JWS 適用

こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。出てくる用語や仕様は、下記の翻訳リンクを参照してください。The OAuth 2.0 Authorization FrameworkJSON Web Signature (JWS)想定する環境わりとよくある環境を想... 続きを読む

Yahoo!ウォレット Fastpayのようなクレカ情報をやりとりするしくみに対する懸念 - r-weblife

2014/02/15 このエントリーをはてなブックマークに追加 29 users Instapaper Pocket Tweet Facebook Share Evernote Clip r-weblife FastPay マーチャント しくみ 懸念

こんにちは、ritouです。Y!Jが今後出そうとしてるFastPayってやつの開発環境が提供されてるみたいです。Yahoo!ウォレット FastPay決済をシンプルにしたいという思いは重要だと思います。しかし、クレジットカード情報を決済サービス - マーチャント間でやりとりするしくみについて、いくつか懸念があります。懸念1 : マーチャントからのカード情報流出など(ここでは一旦、「クレカ情報入力す... 続きを読む

 
(1 - 25 / 32件)