デジタル署名文脈での公開鍵暗号方式の誤解を避けるため、署名鍵/検証鍵という表現を使うというお話

ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19…

とにかくまずはパスワードマネージャーを使おう。パスキーは目の前にある。というお話

ritou です。 大きなサービスで何か問題があると、それをきっかけに皆さんのセキュリティ意識が高まりかけたりするものです。 最近はパスワードマネージャーやパスキーについて言及する人も増えてきました。 表題の通り、パスワードマネージャーをお勧めしま…

SSF/RISCのユースケースを身近なものとして捉えましょうというお話

ritouです。 「宣伝」2024/05/16(木)にOpenID TechNight vol.21 ~ Shared Signal Framework(SSF)+αの勉強会が開かれるようです。 openid.connpass.com そもそもSSFって知ってます?勉強会までにSSFについて少し予習しておきましょう。 SSFについて Tom Sato…

ID連携において重要な "識別子のライフサイクルの考慮" について再考する

ritou です。 ID連携でメールアドレスをキーにするお話 去年はID連携とメールアドレスの関係の話をしました。ちょっとだけ振り返ります。 zenn.dev この時は、 ソーシャルログイン機能を提供するIdP : Googleとか ソーシャルログイン機能を利用するRP : Goog…

macOS向けFirefox(122.0.x)におけるPasskey Autofillの挙動を確認した

こんばんは ritouです。 Firefix の Passkey Autofill 対応 MacOSではFirefox 122.0からiCloud Keychainへの保存と利用が可能になったようです。 www.mozilla.org Firefox now supports creating and using passkeys stored in the iCloud Keychain on macOS…

"OpenID Connectは認可のための仕組みであるOAuth 2.0を認証のために拡張したもの" という表現が気になったが実は...

ritouです。 あることがきっかけで、これが気になりました。 10年間で熟成されてしまった感のある「OIDCはOAuth 2.0を"認証もできる(認証用途に利用できる)ように"拡張した」っていう表現だが、プロトコルの解説にあたってもその流れでやられるとモヤるとこ…

まだはやい 効率的なパスキー管理 - 2023年12月版

ritouです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。 qiita.com パスキー管理についてのお話です。 現状 プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤ…

PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました

PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました。 資料と発表内容を公開します。

共有端末におけるパスキー利用可否の解像度を上げる

ritouです。 Xを日々パトロールをしていると、共有/共用端末(これ正式な用語としてはどっちなん?以下、共有と呼びます。)でのパスキー利用について思いを馳せる人が目につくようになりました。 だいたいの人は 共有端末ではパスキーは使えない!完 という認…

え? OAuth 2.0 の Access Token も JWT じゃなかったの?と思っている皆さん

こんばんは、ritou です。 パスキーの記事ばっかり書いてないでたまにはOAuthのことも取り上げましょう。 OAuthのAccess Tokenについて少し復習してみましょう。 OAuthのAccess Token ってJWTじゃないの? これについては、我らが Auth屋さん がお話しする会…

認証レベルの概念を取り入れたパスキー導入とユーザーへの影響

おはようございます 自称パスキー‍♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、パスキーに関するパトロールをしている中で、メルカリのパスキー導…

パスワードとパスキーの違いをクレデンシャル管理の観点から整理する

こんにちは、ritouです。 今回はクレデンシャル管理の観点からパスワードとパスキーによる認証を整理してみます。これまで何回かTwitterに書いてきたお話です。 背景 最近はだいぶパスキーの説明記事なども出てきていますが、 パスワードとパスキーによる認…

β公開された1Passwordのパスキー対応について調べてみた

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキー…

プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について

おはようございます、ritouです。 何の話? 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラッ…

「使える人にだけ使わせる」 ~ マネーフォワード IDのログインUXから見るパスキー普及のポイント

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワ…

Twitterで2FA使いたいならパスキー"も"使ったらどうかという話

ritouです。 土曜なのに騒がしいですね。 blog.twitter.com 平日じゃないとID猫おっさんがSlackで活躍できないじゃないですか。その辺考慮お願いします。 gigazine.net gigazineの人はたくさんのTwitterアカウントを持っていることがわかりました。 気を取り…

パスキー導入検討 (1) 採用スタイルと対応環境

ritou です。 今年2023年、いよいよパスキーが本格的に利用され始めるとお考えの方もいらっしゃるでしょう。 果たして「パスワード認証に代わりパスキーが使われ、パスワードレスな時代へと突入する」という予想は現実的なのでしょうか? この記事ではサービ…

IDaaSの認証機能でID連携を利用することをおすすめする理由

ritouです。 "Digital Identity技術勉強会 #iddance Advent Calendar 2022" 13日目の記事です。 qiita.com 現状、Digital Identityを専門とするような開発者がいないような場合に新規サービスを立ち上げようと思ったら、Auth0やFirebase Authenticationのよ…

idcon29のY!Jの事例からログインフローにおけるWebAuthn対応の課題を考えた

ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォ…

フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があ…

FedCM入門 その2 ~ 現状のFedCM実装解説

おはようございます。ritouです。 前回の記事に引き続き、FedCM入門です。 ritou.hatenablog.com 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com 明日じゃん。 これに先立って、Federated …

FedCM入門 その1 ~ ID連携の課題とFedCMのアプローチ

おはようございます、ritouです。 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com ここで取り上げられるFedCMについて、3部作ぐらいで 非公式解説 を書いていきます。 ID連携の課題とFedCM…

FIDOの最新動向から考える巨大プラットフォーマーとの関係

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか? www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね!今回はFIDOの話をしましょう。 パスワード認証はもう終わり!時…

GNAP超入門 ~ OAuth 2.0との違いとは

こんばんは、ritouです。 この記事はDigital Identity技術勉強会 #iddance のアドベントカレンダー 初日の記事です。 今年も張り切っていきましょう。 qiita.com さて先日、Internet Week 2021なるもののために GNAP についてお話する機会がございました。 s…

10/27に "iddance Lesson3 TwitterのOAuth 2.0とかCIBAの使い所を知ろうの会" やります

おはようございます、ritou です。 2週間ぐらい後に、こんな勉強会をやります。 idance.connpass.com 聞く対象としては初学者〜慣れてきたぐらいの人、話す方は使ってみた/本書いた/仕事で実装してみたぐらいの人を想定して開催してた勉強会ですが、オンライ…

OAuth 2.0等のRFC番号が飛び交う会話についていくためのカード [PR]

こんにちは、ritouです。 私は以前からこういうTweetをしていました。 エヴァンジェリストたるもの、日頃の研鑽を欠かさないのである… pic.twitter.com/5moTCOe6CF— 秋田の猫 (@ritou) 2019年1月4日 このような日々の努力の結果、いわゆる「RFC番号が飛び交…

ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021

おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足し…

NASCAR problemを軽減できるかもしれない簡単な実装とさらなる妄想

こんばんは、ritouです。 いつもお友達同士でキャッキャウフフさせていただいているTwitterにてこんな投稿をしたところ、珍しくたくさんの反応をいただけました。 ピッコマって漫画サービス、前回のログイン方法を覚えて教えてくれる。ソーシャルログイン実…

セキュアなトークンへのJWT適用について

おはようございます、ritouです。 こういう記事を読みました。 lab.astamuse.co.jp Webアプリケーションでセキュリティ対策のためにランダム文字列な文字列する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenIDに使用するnonce, state メールの…

Chrome 93で実装されたCross Device WebOTPフローを試してみた

おはようございます ritou です。 8月ですよ。お仕事の進捗大丈夫ですか? 最近、Google方面からDecoupled AuthNの香りがしたので追ってみました。 何の話? この話です。 developer.chrome.com WebOTPとは? Webアプリケーションがモバイル端末でSMS経由のOTP…