[B! passkey] teppeisのブックマーク

Chrome Tech Talk Night #16 〜パスキー講演資料

Chrome Tech Talk Night #16 パスキー NRIセキュアテクノロジーズ古川英明メルカリkokukuma, koi © Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 1 1/29/24 9:13 AM

teppeis 2024/06/17

リンク

Passkeys Phishing: Why Passkeys Are Phishing-Resistant

teppeis 2024/06/10

リンク

NIST SP 800-63Bへの補遺が出ました〜パスキーの追加です

近年、多要素認証(MFA)の普及が進む中、ユーザーの利便性とセキュリティのバランスを取ることが課題となっています。MFAとは、パスワードに加え、生体認証やワンタイムパスワードなど複数の認証方式を組み合わせることで、アカウントへの不正アクセスを防ぐセキュリティ手法です。しかし、MFAの導入はユーザーにとって面倒な手順が増えることを意味します。この課題を解決するために登場したのが、Syncable Authenticator(同期可能認証器)、別名Passkey(パスキー)と呼ばれる新しい認証技術です。同期可能認証器は、認証に用いる秘密鍵を複数のデバイス間で同期できるようにすることで、ユーザーはどのデバイスでも同じ認証情報を使えるようになります。これにより利便性が大幅に向上します。一方で、秘密鍵を複数の端末で共有することはセキュリティ上のリスクを伴います。そこで、米国国立標準技術研究所(NI

teppeis 2024/04/24

リンク

Giving NIST Digital Identity Guidelines a Boost: Supplement for Incorporating Syncable Authenticators

teppeis 2024/04/23

NIST SP 800-63Bsup1 Incorporating Syncable Authenticators Into NIST SP 800-63B

リンク

GitHub - passkeydeveloper/passkey-authenticator-aaguids: This repo contains a community sourced list of AAGUIDs for passkey authenticators to help with naming in end user management UIs

teppeis 2024/02/21

passkey

リンク

まだはやい効率的なパスキー管理 - 2023年12月版 - r-weblife

ritouです。この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。qiita.com パスキー管理についてのお話です。現状プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤーで一気に対応が進められているパスキーですが、意識を高めて使っていこうと思った時の悩みとして、どうやってパスキーを管理していくのが安全で便利なんだろうというのがあります。 Apple, Google, MSがパスキーやっていきな声明を出した頃、世の中のほとんどの人がサービス毎に一つだけパスキーを登録(作成)すればクロスプラットフォームで使えるんや！最高だな！となり、その後の状況を知るとサクッと絶望した人もいるでしょう。世の中そんなものです。この記事では、よく言われている管理方法と

teppeis 2024/02/21

passkey

リンク

パスワードから「パスキー」へ、その実際の使い勝手とユーザー認証の未来

teppeis 2024/02/18

passkey

リンク

How Hype Will Turn Your Security Key Into Junk

How Hype Will Turn Your Security Key Into Junk In the last few months there has been a lot of hype about "passkeys" and how they are going to change authentication forever. But that hype will come at a cost. Obsession with passkeys are about to turn your security keys (yubikeys, feitian, nitrokeys, ...) into obsolete and useless junk. It all comes down to one thing - resident keys. What is a Resid

teppeis 2024/02/13

リンク

Device Support

Loading search index… No recent searches No results for "Query here" This page, along with the rest of passkeys.dev, is targeted at relying party developers and is not intended to be an end user facing resource. Said differently, please don’t link to this page from end user focused resources 😉 OverviewSupport for passkeys is currently rolling out across major operating systems and browsers. This

teppeis 2024/01/31

各種OS/ブラウザでのPasskeysサポート状況

リンク

Passkey の動向 2023年ふりかえり - Money Forward Developers Blog

はじめにこんにちは、マネーフォワードID開発チームの @nov です。 2023年はマネーフォワードIDとして本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワードIDのパスキー実装ですが、2023年末の時点でマネーフォワードIDへのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in withApple などを抜いてパスワードに次ぐ第二位の認証手段となっています。この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの

teppeis 2024/01/28

リンク

パスキー対応における2つの段階と必要な機能

パスキー対応という記事を見るとフィッシング耐性があるパスワードレスな世界が来る！と期待を抱き、冷静に考えてパスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーかと遠い目をしてしまう皆さん、こんにちは。ritouです。いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、大人の階段と同じでやるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。2つの段階既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココパスキーのみが利用可能 : 我々が望んでいる世界や！あとはその前のなんもしてない段階です。そんなに新しい話でもないでしょう。段階を進めるために必要な対応

teppeis 2024/01/28

passkey
auth

リンク

パスキーは本当に２要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。｜kkoiwai

この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。パスキーは２要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため

teppeis 2023/12/20

passkey

リンク

パスキーの基本とそれにまつわる誤解を解きほぐす

2023 年は文句なく﹁パスキー元年﹂になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。

teppeis 2023/12/19

passkey
faq

リンク

PWA Night vol.57 ～認証・認可〜にてパスキーの話をしました - r-weblife

ritouです。これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。発表資料 speakerdeck.com 発表内容台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。今日は、パスキーについて話します。細かい自己紹介は省略します。色々宣伝したいものがありますがブログに書きます。今日の内容ですが、初めにパスキーの概要についてざっと触れます。続いてWebアプリケーションにパスキーを導入するとなった場合にどこから手をつけるべきかというところに触れた後、一番の悩みどころになりそうなログインのUI/UXについて紹介します。概要からいきましょう。パスキーの紹介記事もたくさん出ているので要点だけまとめます。パスキーとは﹁パスワードが不要な認証方式﹂であり、それを支える仕様はFIDOアライアンスとW3Cにより策

teppeis 2023/11/16

passkey
ui

リンク

書籍『パスキーのすすめ』でパスワードレスな認証の世界に飛び込んでみよう #技術書典 | DevelopersIO

数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。そうこうしているうちに、最近では﹁パスキー﹂という新しいパスワードレス技術に関する言葉をよく目にするようになりました。パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。 FIDOとWebAuthnとパスキーは何が違うの?もっとセキュアになったの?サイトによってUXが違うんだけど?このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された﹃パスキーのすすめ﹄です。著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つrito

teppeis 2023/11/13

passkey
book

リンク

パスキー時代の"認証要素"の考え方 ~単一要素の組み合わせ、おまとめMFAと同期~

ritouです。前回は、パスキーやパスワードマネージャーを使う時の認証要素について触れました。今回は、同じ要素の認証を重ねる意味同一端末やパスワードマネージャーだけで完結するMFA あるアカウントに紐づけられて同期されるクレデンシャル管理についての基本的な整理をします。前回に続き、書いていることは無難な内容だと思います。 (長いので先に)まとめ単一要素を重ねる意味について、要素の種類によっては有効な場合もある SYK を重ねるケースは決済などでまだ見られるが今後は淘汰されていくのでは？ SYH の場合、管理デバイスを分離することで安全性を上げられる。ただし手間は増えるしフィッシング耐性は別途考慮する必要あり。 SYA を重ねる=単一SYAの精度を上げるのと同じ扱いになりそう(顔だけ、指紋だけ -> 顔 + 指紋など) 同一端末やパスワードマネージャー内で完結するMFAやプ

teppeis 2023/10/05

SYHを重ねると、紛失リスク上昇とそのリカバリ対応も面倒そう

passkey
auth

リンク

パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~

ritouです。サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。パスキー簡単！けどこれ指紋認証だけ？弱くなってない？ SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった？この辺りについて整理します。認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証前にこんな記事を書きました。この内容を説明すると、﹁うん、わかってる﹂って人は多いです。でも、実際に使ってみると心許なく感じたりする

teppeis 2023/10/03

1PasswordのパスキーはSYHのみなのか？パスワードマネージャーにより十分安全なパスワードであると保証できる場合、果たしてSYK以外の要素が必要か？みたいな話

リンク

DroidKaigi 2023にてパスキーについて話しました

株式会社MIXI 開発本部 MIXI M事業部のritouです。 DroidKaigi2023にてお話しさせていただきました。資料も公開しました。今回も発表内容全部書き出してみたをやってみます。同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。それではどうぞ。これからパスキーに関するユースケースと、それに伴うユーザーエクスペリエンスの課題について発表します。株式会社MIXIでエンジニアとして働いています。 MIXI MというサービスでID基盤の開発に携わっており、8月にパスキー対応を行いました。その経験も踏まえて、今日はお話をさせていただきます。また、OpenIDファウンデーションジャパンでエバンジェリストをしています。今日はID連携とパスキーの関係についてもお話します。この発表を通して

teppeis 2023/09/19

リンク

フィッシング耐性の高いMFA実装の解説 | ドクセル

CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開  フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威を理解してもらうためのガイダンス。それぞれの実装方式にどのような脅威があるかを解説  MFAアプリケーションでの番号照合の実装フィッシング耐性の高いMFA実装を導入できない場合の次善策となる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida

teppeis 2023/09/14

リンク

パスキー利用状況レポート @ マネーフォワード ID (vol.2, Aug 2023) - Money Forward Developers Blog

English version of this article is available here. はじめにこんにちは、マネーフォワードID開発チームの @nov です。前回のパスキー利用状況レポート vol.1から3ヶ月ほど経過しました。その後エンドユーザーのみなさんに向けたプロモーションも実施し、順調にパスキー利用者数が伸びています。パスキープロモーションの進捗 2023年6月から、マネーフォワードMEという家計簿アプリのユーザー向けにパスキーの登録を促すプロモーションページの表示を開始しました。現在パスキー未登録なユーザーがパスワードを使ってマネーフォワードMEにログインすると、以下のようなプロモーションページが表示されるようになっています。プロモーション対象は開始当初は1%ほどに限定していましたが、7月終わりごろから全マネーフォワードMEユーザー向けに対

teppeis 2023/08/15

リンク

はてなブックマーク

タグ

関連タグで絞り込む (32)

passkeyに関するteppeisのブックマーク (49)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス