ritou です。 ID連携でメールアドレスをキーにするお話 去年はID連携とメールアドレスの関係の話をしました。ちょっとだけ振り返ります。 zenn.dev この時は、 ソーシャルログイン機能を提供するIdP : Googleとか ソーシャルログイン機能を利用するRP : Goog…

こんばんは ritouです。 Firefix の Passkey Autofill 対応 MacOSではFirefox 122.0からiCloud Keychainへの保存と利用が可能になったようです。 www.mozilla.org Firefox now supports creating and using passkeys stored in the iCloud Keychain on macOS…

ritouです。 あることがきっかけで、これが気になりました。 10年間で熟成されてしまった感のある「OIDCはOAuth 2.0を"認証もできる(認証用途に利用できる)ように"拡張した」っていう表現だが、プロトコルの解説にあたってもその流れでやられるとモヤるとこ…

ritouです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。 qiita.com パスキー管理についてのお話です。 現状 プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤ…

PWA Night vol.57 ～認証・認可〜 にてパスキーの話をしました。 資料と発表内容を公開します。

ritouです。 Xを日々パトロールをしていると、共有/共用端末(これ正式な用語としてはどっちなん？以下、共有と呼びます。)でのパスキー利用について思いを馳せる人が目につくようになりました。 だいたいの人は 共有端末ではパスキーは使えない！完 という認…

こんばんは、ritou です。 パスキーの記事ばっかり書いてないでたまにはOAuthのことも取り上げましょう。 OAuthのAccess Tokenについて少し復習してみましょう。 OAuthのAccess Token ってJWTじゃないの？ これについては、我らが Auth屋さん がお話しする会…

おはようございます 自称パスキー‍♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、パスキーに関するパトロールをしている中で、メルカリのパスキー導…

こんにちは、ritouです。 今回はクレデンシャル管理の観点からパスワードとパスキーによる認証を整理してみます。これまで何回かTwitterに書いてきたお話です。 背景 最近はだいぶパスキーの説明記事なども出てきていますが、 パスワードとパスキーによる認…

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキー…

おはようございます、ritouです。 何の話？ 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラッ…

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワ…

ritouです。 土曜なのに騒がしいですね。 blog.twitter.com 平日じゃないとID猫おっさんがSlackで活躍できないじゃないですか。その辺考慮お願いします。 gigazine.net gigazineの人はたくさんのTwitterアカウントを持っていることがわかりました。 気を取り…

ritou です。 今年2023年、いよいよパスキーが本格的に利用され始めるとお考えの方もいらっしゃるでしょう。 果たして「パスワード認証に代わりパスキーが使われ、パスワードレスな時代へと突入する」という予想は現実的なのでしょうか？ この記事ではサービ…

ritouです。 "Digital Identity技術勉強会 #iddance Advent Calendar 2022" 13日目の記事です。 qiita.com 現状、Digital Identityを専門とするような開発者がいないような場合に新規サービスを立ち上げようと思ったら、Auth0やFirebase Authenticationのよ…

ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォ…

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があ…

おはようございます。ritouです。 前回の記事に引き続き、FedCM入門です。 ritou.hatenablog.com 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com 明日じゃん。 これに先立って、Federated …

おはようございます、ritouです。 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com ここで取り上げられるFedCMについて、3部作ぐらいで 非公式解説 を書いていきます。 ID連携の課題とFedCM…

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時…

こんばんは、ritouです。 この記事はDigital Identity技術勉強会 #iddance のアドベントカレンダー 初日の記事です。 今年も張り切っていきましょう。 qiita.com さて先日、Internet Week 2021なるもののために GNAP についてお話する機会がございました。 s…

おはようございます、ritou です。 2週間ぐらい後に、こんな勉強会をやります。 idance.connpass.com 聞く対象としては初学者〜慣れてきたぐらいの人、話す方は使ってみた/本書いた/仕事で実装してみたぐらいの人を想定して開催してた勉強会ですが、オンライ…

こんにちは、ritouです。 私は以前からこういうTweetをしていました。 エヴァンジェリストたるもの、日頃の研鑽を欠かさないのである… pic.twitter.com/5moTCOe6CF— 秋田の猫 (@ritou) 2019年1月4日 このような日々の努力の結果、いわゆる「RFC番号が飛び交…

おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足し…

こんばんは、ritouです。 いつもお友達同士でキャッキャウフフさせていただいているTwitterにてこんな投稿をしたところ、珍しくたくさんの反応をいただけました。 ピッコマって漫画サービス、前回のログイン方法を覚えて教えてくれる。ソーシャルログイン実…

おはようございます、ritouです。 こういう記事を読みました。 lab.astamuse.co.jp Webアプリケーションでセキュリティ対策のためにランダム文字列な文字列する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenIDに使用するnonce, state メールの…

おはようございます ritou です。 8月ですよ。お仕事の進捗大丈夫ですか？ 最近、Google方面からDecoupled AuthNの香りがしたので追ってみました。 何の話? この話です。 developer.chrome.com WebOTPとは? Webアプリケーションがモバイル端末でSMS経由のOTP…

こんにちは、ritouです。 こんな記事を見かけました。 internet.watch.impress.co.jp Amazonをかたるフィッシングが報告全体の35.8％を占め、特にSMSによるものが多かった。同協議会では、SMSではメールよりも本物と誤解したり、ついアクセスしたりしやすい…

今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 一言で言うとMacとかiOSとかAndroidとかWindowsの生体認証が使えるデバイス上でWebアプリを使ってるユーザーに対して、新規登録/ログインフローのなかでをどうやってデバイスを登録…

先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。