フィッシング被害が多発しているというAmazonからのセキュリティ通知の仕様の危うさ

こんにちは、ritouです。 こんな記事を見かけました。 internet.watch.impress.co.jp Amazonをかたるフィッシングが報告全体の35.8%を占め、特にSMSによるものが多かった。同協議会では、SMSではメールよりも本物と誤解したり、ついアクセスしたりしやすい…

FIDOアライアンスのUXガイドラインには何が書いてあるか

今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 一言で言うとMacとかiOSとかAndroidとかWindowsの生体認証が使えるデバイス上でWebアプリを使ってるユーザーに対して、新規登録/ログインフローのなかでをどうやってデバイスを登録…

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか

先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。

【久々の投稿と思ったら】Web24というイベントで 5/8 12:50~14:20にお話します【告知】

お久しぶりです、ritou です。 今週の金/土に行われるこんなイベントにお誘いいただいて、5/8 12:50~14:20にWebアプリケーションとIDについてセッションオーナーとして議論させてもらうことになりました。ハッシュタグは #web24_id です。 connpass.com どん…

最近よく見かける初心者エンジニアが転職の際に作る今時のポートフォリオに必須だと噂の「ゲストログイン」について

おはようございます。ritou です。 タイトル長くてすみません。 QiitaでID連携や認証まわりの投稿記事を見ていると、最近「ゲストログイン」という文字列が目に止まることが増えたので何か書いておきます。 ゲストログインとは 「ゲストログイン」の検索結果…

噂のマイナンバー要求APIをCIBA+FIDOで作れないか考えてみた

こんばんは、ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 15日めの記事です。 qiita.com 何の話か? このプレスリリース、ニュースを覚えていますでしょうか。 www.jiji.com マイナンバー要求APIの説明としては 事業者が同APIを導…

Identity Lifecycleを意識したID管理機能の設計

おはようございます。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 7日めの記事です。 qiita.com OIDCとかFIDOとかOAuthとかGNAPとかいろいろな話題の記事が書かれて素晴らしいですね。 今回はID管理の設計の話をしましょう。 ID…

OAuth認証とは何か?なぜダメなのか - 2020冬

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAut…

LINEログインの対応から「手元のスマホでログイン」の仕組みであるDecoupled AuthNを理解しよう

おはようございます。ritouです。 何の話か 今日はLINEが発表した取組みと今後使われるようになるかも知れない認証方式について紹介します。 FIDO2使ったout of band認証がまずは、iPad版LINEから提供始まりました。デスクトップ版も準備中。https://t.co/Bq…

EMV® 3-D Secure × FIDO で目指す世界とは?

おはようございます。ritouです。 最近寒いです。もうダメ。 なんの話か 今日はこのお話です。 EMVCo publishes new guidance for merchants and issuers on using @FIDOAlliance authentication with EMV® 3-D Secure for improved online payment experien…

OIDC CIBAで作る「スマートフォンでログイン」機能

こんばんは、ritouです。 今日は OpenID Connect Client Initiated Backchannel Authentication Flow 通称CIBA のユースケースについて書きます。 CIBA は決済や送金のためのもの? 自分の記事でも、CIBAのユースケースとしてコンビニ決済への導入例を挙げて…

OIDC CIBA の拡張として OAuth 2.0 Device AuthZ Grant を使う仕様を考えてみた

おはようございます。ritou です。 なんか急に寒くなりましたね。私は先週末、風邪をひきました。 何の話? OpenID Connect の CIBA と OAuth 2.0 Device AuthZ Grant は手元の端末を用いてユーザーがID連携やリソースアクセスを許可することから似ている面…

2020/11/19 に 「idcon vol.28 DID特集その2」 やります

こんにちは、ritouです。 あの #idcon がオンラインで復活!?しかもテーマはDecentralized Identity(DID)!? と言うことで誰かの意識が高まっているのを観測したのでやります。 idcon.connpass.com 今のところの発表案です。 「MSのDID/VC概要」by phr_eid…

Self-Issued OpenID Connect Provider DID Profile v0.1 とは

おはようございます。ritouです。 今日はこれを読んでみます。 Self-Issued OpenID Connect Provider DID Profile v0.1 何のための仕様か This specification defines the "SIOP DID Profile" (SIOP DID) that is a DID AuthN flavor to use OpenID Connect …

フィッシング対策視点から考えるメールやSMS通知のあり方

こんばんは、ritouです。 令和の時代においても、フィッシング攻撃はメール、SMS共に存在します。 だいぶ普及してきたみんな大好きワンタイムパスワードでもフィッシングに対しては脆弱です(FIDOにしましょう)。 フィッシング攻撃への現状の対策はどうかとい…

現在仕様策定中の OpenID Connect RP-Initiated Logout 1.0 とは

こんばんは ritouです。 むかーしむかし、あるところにOIDCのセッション管理に関する3つの仕様がありました。 (2015年の記事) ritou.hatenablog.com (Session Managementについてのさらに古い 2013年の記事) ritou.hatenablog.com いわゆるソーシャルログイ…

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロン…

Capability URLsをBearer Tokenと捉えた場合のJWT適用の可能性

こんばんは。ritouです。 少し前に、このようなスライドを見かけました。 docs.google.com 今回はこのCapability URLsにJWTを使ってみてはいかがかなというお話をします。 私ぐらいになるとこういうやつもeyJ派なので...https://t.co/7FodQaA8ap— 秋田の猫 (…

bosyuが実装したメールアドレスでの登録/ログイン機能とは!?

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 /#bosyu をメールアドレス✉️でご利用いただけるようになりました!\今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりま…

ユーザー名にURLやドメインを含むSNSのアカウントとメール通知による拡散行為について

こんばんは。ritouです。 なんの話? ちょっと前にQiitaでこんなことがありました。 qiita.com 最近はこんなのも見かけました。 大量ユーザ登録攻撃による彼らのターゲットは俺個人ではなく、ユーザ登録確認メールを受け取る人々だ。なぜならそのメールにフ…

2020年版 チーム内勉強会資料その1 : JSON Web Token

おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超…

「ID TokenをAuthorization Headerにつけて送る」というお作法について思うところ

こんばんは、ritouです。 ID Tokenがやりとりされている背景 ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

JWT+RDBを用いたOAuth 2.0 ハイブリッド型トークンの実装例

おはようございます、ritouです。 (⚠️認可イベントの識別子のあたり、ちょっと見直しました!最初に見ていただいた方はもう一回どうぞ!) 前回、ハイブリッド型と呼ばれる OAuth 2.0 のトークン実装について書きました。 ritou.hatenablog.com その続きとし…

OAuthのハイブリッド型アクセストークン実装に関するあれこれ

おはようございます。ritouです。 先日オンラインで開かれたAuthlete社の勉強会で、アクセストークンの実装パターンについて触れられていました。 www.authlete.com (titleはもうちょっとなんとかする方が良さそう) ドキュメントでいうとこの辺りでしょうか…

OIDC CIBAのようなDecoupled AuthZ/AuthNプロトコルでリスクベース判定したくない?

おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…

OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは?

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…

ID連携におけるCSRF対策のチェック方法

こんばんは、OAuth‍♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか? お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…

JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方

こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。…

OAuth 2.0 / OpenID Connect の Hybrid Flow への向き合い方

ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…

人はなぜ「フィッシング対策のための2段階認証」「2段階認証を破る新手口!」と雑に言ってしまうのか

おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシ…