しばらく認証関係の仕事から離れていたうちに、いよいよパスワードレスが現実的となりNISTもSP800を更新しちゃうような仕組みが確立されつつあった。 PassKeyである。自分なりに整理してみる。 PassKeyとは パスワード認証に変わる認証手段としてウェブサイトやアプリへのログインを簡単かつ安全に行うことを可能とするもの。 この2022年5月5月の#WorldPasswordDayにAppleから出た文書で初めてパスキーという言葉が使われたそう(ていうか昨日ワールドパスワードデーだったんすね) www.apple.com ここでは「FIDOサインインの認証情報」をパスキーと呼んでいる。 む…
新しい認証方法、「Passkey(パスキー)」 パスキーとは: パスワードに置き換わるFIDO認証資格情報です。ユーザーのデバイスを問わず、ウェブサイトやアプリケーションへのより速く、簡単、安全なサインインを提供するパスワードの代替品です。 仕組み: パスキー認証は公開鍵暗号方式に基づいています。パスキーでウェブサイトにサインインする際には、サーバーからのチャレンジをデバイス内に保存された秘密鍵で署名し、サーバーに送信します。サーバーは事前に登録してあった、署名に用いた秘密鍵の対となる公開鍵で署名を検証を行うことで認証します。デバイス内に保存された秘密鍵で署名する際に、PCやスマホであればその…
こんにちは。エンジニアの山下です。 パスワードレス技術として Passkey が注目を集めていますが、この Passkey はフィッシング耐性を持つと言われています。今回は Passkey のフィッシング耐性を支える仕組みについて調査した結果を書きたいと思います。 Passkey と FIDO そもそも Passkey は FIDO Alliance という団体によって定められた概念です。FIDO Alliance の 公式ページ では Passkey を以下のように定義しています: Any passwordless FIDO credential is a passkey. FIDO All…
こんにちは、株式会社FLINTERSに出向中の佐藤です。 10周年記念として133日間ブログを書き続けるチャレンジの54日目の投稿になります。 本記事では今年の7月よりパブリックベータ版として導入され、9月に正式にGitHubよりリリースされたPasskeyについて触れてみようと思います。GitHubのブログで実際に公表されている記事はこちらです。 Passkeyの概要 Passkeysは、指紋、顔認識、デバイスパスワード、またはPINを使用して本人確認を行う、パスワードの代替品です。デバイス単位で利用することができ、パスワードや二要素認証の要件を満たした上でシンプルかつ安全なサインインを実行…
適応は、必須じゃないと言われているが、内容を見ると、 ハイライト、改善点と書かれているが、脆弱性こそ含まれないものの、メモリリークや、バグも含まれているじゃん。 2023 年 9 月 26 日 — KB5030310 (OS ビルド 22621.2361) プレビュー - Microsoft サポート 今回、どうしてもアップデートしたかったのは、Passkeyのアップデートがあって、パスワードは、1Passwordで一元管理しているんだけど、結構、変更が加わって大変だった。 Passkeyのアップデートなどに対して、[スタート]画面の[おすすめ]セクションと、Bingは使いたい人だけ、使えるよ…
皆さんこんにちは、とらのあなラボのY.Fです。 先日、弊社エンジニアが開発で関わっているCreatiaで、以下のお知らせが投稿されました。 【新機能のご案内】#クリエイティア にて、『パスワードレスログイン』機能をリリースいたしました。パスワードの代わりに指紋や顔認証、PINコードを使って、スムーズかつ安全にクリエイティアにログインできるようになりました!▶詳細は下記記事をご参照くださいhttps://t.co/FzsVIAl7Sp— クリエイティア[Creatia]@ファンクラブ開設費無料! (@creatia_cc) 2023年6月8日 弊社のサービスは、とらのあな通販やサークルポータル除…
この記事は Calendar for 東京電機大学 | Advent Calendar 2022 - Qiita の4日目です。 昨日は、HIBIKI-CUBEさんの ESP32でYDLiDAR GS2を使う - Qiita でした。 passkeyというものを知っていますか?passkeyとはFIDO/WebAuthnという仕様に沿って実装される機能の"名称"で、正式にはマルチデバイス対応FIDO認証資格情報と呼ばれパスワードの代わりに端末の生体認証などを使用して認証できるようにするものです*1。 Appleではパスキーが、GoogleもpasskeyをAndroidとChromeで実装して…
idcon vol.29で聞いた話、iOS16ではiCloud key chainを使えないとFIDOキー(passkey)を作れない、WebAuthnが利用できない。ただし、ローミングキー(ローミング認証器)なら作れる。らしい。 「iCloudが無効化されているとWebAuthnが全部使えなくなるって厳しい過ぎない?Passkeyを作らないとか選べないの?」と気になったので、Appleからの公式情報はないか少し調べてみた。 Appleの開発者フォーラムにあった質問に対する回答にそれっぽいことが書いてあった。 Can we turn off passkeys for webauthn? | A…
ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便利な仕組み プラットフォームを跨いだ利用が可能 パスワードを置き換える 1の安全性については技術的に説明されています。最もシンプルな使い方であれば「慣れ」ることで便利さも感じられるかと思います。 2はプラットフォーマーやパスワード…
STORES 株式会社 技術基盤グループの id:atpons です。2024/11/23 〜 2024/11/24 にかけて、SECCON CTF 13 予選 のスコアサーバーの構築、運用を行いました。今回はその活動についてご紹介します。 SECCON について SECCON は日本の情報セキュリティコンテストイベントです。日本においては大きな CTF 競技とされています。 id:atpons は SECCON 実行委員 (LifeMemoryTeam) という有志の団体のメンバーとして、インフラ周りの整備 / NOC (ネットワーク) を 2019 年から行っています。SECCON はコン…
2024/11/21 https://10q89s.connpass.com/event/328649/ 感想 トップダウンでデザインファーストに取り組んでる印象で好感を持てた 採用を意識したイベントと公言してたが、東急でどんなことをしてるか気になっての参加だったので自分のニーズとはあっていた 移動領域、不動産領域 130のサービス 点を線や面に 移動領域の事例 改札をQRで通れるサービス 不動産領域の事例 渋谷に東急のビルが多い そこで働く人向けの優待サービス 誰がどこてどう使ってるかデータがなかった 改善ができない 3ヶ月でアプリ化 リテール領域、ID基盤 https://speakerd…
phishing-log.hatenablog.com 【辞書】 ◆パスキーとは【用語集詳細】 (SOMPO CYBER SECURITY) https://www.sompocybersecurity.com/column/glossary/passkey 【概要】■パスキーの課題 デバイス依存性 紛失時の対応 大半のサイト・アプリがパスキー未対応 【最新情報】 ◆Google、「パスワードマネージャー」でWindows、macOSでも「パスキー」同期可能に iOSも間もなく (ITmedia, 2024/09/20 09:34) https://www.itmedia.co.jp/news…
【ニュース】 ◆パスキーを共有できる新しい仕様草案発表、FIDO Alliance (マイナビニュース, 2024/10/22 09:37) https://news.mynavi.jp/techplus/article/20241022-3046563/ 【関連まとめ記事】◆全体まとめ ◆認証 (まとめ) ◆パスキー認証 (まとめ) https://security-log.hatenablog.com/entry/Passkey_Certification
はじめに 2024-10-19に開催された、PHP勉強会in広島 vol.1 - connpassに参加しました。 広島ではバックエンド系の勉強会が多くないイメージだったため非常に新鮮でした。 会場がエディオンピースウイングで、球技場に足を踏み入れるという体験は人生で初めてだったため、そのような点でも新鮮でした。 参加者に関しては、県外からの参加もそれなりに多く、びっくりしました 感想 セッション エンジニアの「センス」とは何か 鍛錬します! わたしがしてきた失敗の話をしようか 他人の失敗の話はあまり聞かないため、新鮮でした。 自分は失敗したとき、失敗したことをいい感じに忘れることができず寝ら…
【ニュース】 ◆Amazonのパスキー利用者が1億7,500万人突破、パスワード使わないユーザー増加 (マイナビニュース, 2024/10/18 12:19) https://news.mynavi.jp/techplus/article/20241018-3046559/ 【関連まとめ記事】◆全体まとめ ◆認証 (まとめ) ◆パスキー認証 (まとめ) https://security-log.hatenablog.com/entry/Passkey_Certification
English version of this article is available here. はじめに 皆さんこんにちは、マネーフォワード ID サービス開発チームの@Mapduです。 Passkey Usage Report vol.5を公開し、WWDC 2024でのPasskey Auto Upgradeについて触れてから、数ヶ月が経ちました。当時は技術的な詳細が明らかにされていませんでした。 しかし、この度、マネーフォワード IDがユーザーログイン時にPasskey Auto Upgradeをサポートすると発表できることを嬉しく思います。この機能は2024年9月末にリリースされた…
【ニュース】 ◆異なるシステム間でパスキーを安全に転送できる「Credential Exchange Protocol」の草案と開発者向けリソースサイト「Passkey Central」が公開される (Gigazine, 2024/10/16 13:15) https://gigazine.net/news/20241016-fido-alliance-credential-exchange-protocol/
【ニュース】 ◆Windows11のパスキー、シンプルで直感的になる (マイナビニュース, 2024/10/15 08:11) https://news.mynavi.jp/techplus/article/20241015-3043198/ 【関連まとめ記事】◆全体まとめ ◆認証 (まとめ) ◆パスキー認証 (まとめ) https://security-log.hatenablog.com/entry/Passkey_Certification
Money Forward Tech Day 2024 こんにちは、@nov です。 先日 2024/09/20、Money Forward Tech Day 2024 というイベントで Passkey Autofill に賭けるマネーフォワード ID というお話をさせていただきました。 その時に使ったスライドはこちらに公開してあるのですが、スライド内の文章は日英併記が必要で、スライドレイアウトの調整が難しかったため、このスライドにはほとんど文章を入れていません。 結果として、このスライドだけでは、イベントに参加していなかった方々には内容が伝わりにくいと思いますので、ブログにも書き起こしておこ…
昨日から YAPC::Hakodate 2024 に参加していました。今回は何も書き残すつもりはなかったのですが、せっかく会社のお金で来させてもらっているので何か収穫を持って帰らねばと思っていたら手元にメモができたので、未来の自分のためにも公開して残しておきます。 10/4 前夜祭 デジタルIDウォレットが切り開くHigh Assurance Identity Proofingの未来 / kokukuma さん high assurance identity proofing wallet を使った認証 iOS / android credential manager どんな身元確認か、仕組み…
はじめに 最近、パスワードに代わる新たな認証手段として「パスキー」が注目されています。従来のパスワード管理では、複雑な文字列を覚える必要があったり、パスワードが漏洩した際に深刻なセキュリティリスクが発生するなど、多くの問題が指摘されてきました。これに対処するため、より安全で簡単な認証方法としてパスキーの導入が進んでいます。 この記事では、パスキーの基本的な特徴、仕組みについて詳しく解説し、そのメリットを紹介します。 ちなみに、私がパスワード管理に使用している1Passwordもパスキーに対応しているため、これまでパスワードでログインしていたサービスがパスキーに対応している場合、順次パスキーに切…
▼はてなブログにはAPIが用意されている。 developer.hatena.ne.jp VisualStudioCodeで下書きしてそのままはてなブログにアップロードできたらいろいろ捗るだろうと思って、少しコードを書いている。使いやすく原稿を書いて、node.jsでさっとアップロードする想定だ。 今日はその前段階として、REST Client機能拡張を利用して、XMLファイルをアップロードしてみた。 VisualStudioCodeのREST Client機能拡張は拡張子.restのファイルを用意しておけばいつでもリクエストを送信できるので、あれこれリクエストのフォーマットを用意しておけるの…
2024/9/20 https://techday.moneyforward-dev.jp/2024/ https://moneyforward.connpass.com/event/325167/ マネーフォワードのエンジニアリング進化論 Shota Kurodaさん/VPoE マネーフォワード 2012年設立 2400人 エンジニアは4割 60以上のプロダクト エンジニアの40%異常が外国籍 エンジニアリングの進化の歴史 スタートアップ期 アカウントアグリゲーションを活用 いろんな金融データ B2B SaaSの拡大 Railsでモノリス 共有DBに数百億レコード ここが止まると全部止まる …