Security
ritou です。 ID連携でメールアドレスをキーにするお話 去年はID連携とメールアドレスの関係の話をしました。ちょっとだけ振り返ります。 zenn.dev この時は、 ソーシャルログイン機能を提供するIdP : Googleとか ソーシャルログイン機能を利用するRP : Goog…
ritouです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。 qiita.com パスキー管理についてのお話です。 現状 プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤ…
ritouです。 Xを日々パトロールをしていると、共有/共用端末(これ正式な用語としてはどっちなん?以下、共有と呼びます。)でのパスキー利用について思いを馳せる人が目につくようになりました。 だいたいの人は 共有端末ではパスキーは使えない!完 という認…
こんばんは、ritou です。 パスキーの記事ばっかり書いてないでたまにはOAuthのことも取り上げましょう。 OAuthのAccess Tokenについて少し復習してみましょう。 OAuthのAccess Token ってJWTじゃないの? これについては、我らが Auth屋さん がお話しする会…
おはようございます 自称パスキー♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、パスキーに関するパトロールをしている中で、メルカリのパスキー導…
こんにちは、ritouです。 今回はクレデンシャル管理の観点からパスワードとパスキーによる認証を整理してみます。これまで何回かTwitterに書いてきたお話です。 背景 最近はだいぶパスキーの説明記事なども出てきていますが、 パスワードとパスキーによる認…
こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキー…
おはようございます、ritouです。 何の話? 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラッ…
ritouです。 "Digital Identity技術勉強会 #iddance Advent Calendar 2022" 13日目の記事です。 qiita.com 現状、Digital Identityを専門とするような開発者がいないような場合に新規サービスを立ち上げようと思ったら、Auth0やFirebase Authenticationのよ…
ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォ…
ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があ…
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足し…
おはようございます、ritouです。 こういう記事を読みました。 lab.astamuse.co.jp Webアプリケーションでセキュリティ対策のためにランダム文字列な文字列する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenIDに使用するnonce, state メールの…
こんにちは、ritouです。 こんな記事を見かけました。 internet.watch.impress.co.jp Amazonをかたるフィッシングが報告全体の35.8%を占め、特にSMSによるものが多かった。同協議会では、SMSではメールよりも本物と誤解したり、ついアクセスしたりしやすい…
おはようございます。ritou です。 タイトル長くてすみません。 QiitaでID連携や認証まわりの投稿記事を見ていると、最近「ゲストログイン」という文字列が目に止まることが増えたので何か書いておきます。 ゲストログインとは 「ゲストログイン」の検索結果…
おはようございます。ritouです。 最近寒いです。もうダメ。 なんの話か 今日はこのお話です。 EMVCo publishes new guidance for merchants and issuers on using @FIDOAlliance authentication with EMV® 3-D Secure for improved online payment experien…
こんばんは、ritouです。 今日はこの機能を使ってみましょう。 /#bosyu をメールアドレス✉️でご利用いただけるようになりました!\今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりま…
こんばんは。ritouです。 なんの話? ちょっと前にQiitaでこんなことがありました。 qiita.com 最近はこんなのも見かけました。 大量ユーザ登録攻撃による彼らのターゲットは俺個人ではなく、ユーザ登録確認メールを受け取る人々だ。なぜならそのメールにフ…
おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…
お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…
こんばんは、OAuth♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか? お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…
こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。…
ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…
おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシ…
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …
どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということで…
おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…