Security

SSF/RISCのユースケースを身近なものとして捉えましょうというお話

ritouです。 「宣伝」2024/05/16(木)にOpenID TechNight vol.21 ~ Shared Signal Framework(SSF)+αの勉強会が開かれるようです。 openid.connpass.com そもそもSSFって知ってます?勉強会までにSSFについて少し予習しておきましょう。 SSFについて Tom Sato…

ID連携において重要な "識別子のライフサイクルの考慮" について再考する

ritou です。 ID連携でメールアドレスをキーにするお話 去年はID連携とメールアドレスの関係の話をしました。ちょっとだけ振り返ります。 zenn.dev この時は、 ソーシャルログイン機能を提供するIdP : Googleとか ソーシャルログイン機能を利用するRP : Goog…

まだはやい 効率的なパスキー管理 - 2023年12月版

ritouです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。 qiita.com パスキー管理についてのお話です。 現状 プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤ…

共有端末におけるパスキー利用可否の解像度を上げる

ritouです。 Xを日々パトロールをしていると、共有/共用端末(これ正式な用語としてはどっちなん?以下、共有と呼びます。)でのパスキー利用について思いを馳せる人が目につくようになりました。 だいたいの人は 共有端末ではパスキーは使えない!完 という認…

え? OAuth 2.0 の Access Token も JWT じゃなかったの?と思っている皆さん

こんばんは、ritou です。 パスキーの記事ばっかり書いてないでたまにはOAuthのことも取り上げましょう。 OAuthのAccess Tokenについて少し復習してみましょう。 OAuthのAccess Token ってJWTじゃないの? これについては、我らが Auth屋さん がお話しする会…

認証レベルの概念を取り入れたパスキー導入とユーザーへの影響

おはようございます 自称パスキー‍♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、パスキーに関するパトロールをしている中で、メルカリのパスキー導…

パスワードとパスキーの違いをクレデンシャル管理の観点から整理する

こんにちは、ritouです。 今回はクレデンシャル管理の観点からパスワードとパスキーによる認証を整理してみます。これまで何回かTwitterに書いてきたお話です。 背景 最近はだいぶパスキーの説明記事なども出てきていますが、 パスワードとパスキーによる認…

β公開された1Passwordのパスキー対応について調べてみた

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキー…

プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について

おはようございます、ritouです。 何の話? 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラッ…

IDaaSの認証機能でID連携を利用することをおすすめする理由

ritouです。 "Digital Identity技術勉強会 #iddance Advent Calendar 2022" 13日目の記事です。 qiita.com 現状、Digital Identityを専門とするような開発者がいないような場合に新規サービスを立ち上げようと思ったら、Auth0やFirebase Authenticationのよ…

idcon29のY!Jの事例からログインフローにおけるWebAuthn対応の課題を考えた

ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォ…

フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があ…

ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021

おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足し…

セキュアなトークンへのJWT適用について

おはようございます、ritouです。 こういう記事を読みました。 lab.astamuse.co.jp Webアプリケーションでセキュリティ対策のためにランダム文字列な文字列する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenIDに使用するnonce, state メールの…

フィッシング被害が多発しているというAmazonからのセキュリティ通知の仕様の危うさ

こんにちは、ritouです。 こんな記事を見かけました。 internet.watch.impress.co.jp Amazonをかたるフィッシングが報告全体の35.8%を占め、特にSMSによるものが多かった。同協議会では、SMSではメールよりも本物と誤解したり、ついアクセスしたりしやすい…

最近よく見かける初心者エンジニアが転職の際に作る今時のポートフォリオに必須だと噂の「ゲストログイン」について

おはようございます。ritou です。 タイトル長くてすみません。 QiitaでID連携や認証まわりの投稿記事を見ていると、最近「ゲストログイン」という文字列が目に止まることが増えたので何か書いておきます。 ゲストログインとは 「ゲストログイン」の検索結果…

EMV® 3-D Secure × FIDO で目指す世界とは?

おはようございます。ritouです。 最近寒いです。もうダメ。 なんの話か 今日はこのお話です。 EMVCo publishes new guidance for merchants and issuers on using @FIDOAlliance authentication with EMV® 3-D Secure for improved online payment experien…

bosyuが実装したメールアドレスでの登録/ログイン機能とは!?

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 /#bosyu をメールアドレス✉️でご利用いただけるようになりました!\今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりま…

ユーザー名にURLやドメインを含むSNSのアカウントとメール通知による拡散行為について

こんばんは。ritouです。 なんの話? ちょっと前にQiitaでこんなことがありました。 qiita.com 最近はこんなのも見かけました。 大量ユーザ登録攻撃による彼らのターゲットは俺個人ではなく、ユーザ登録確認メールを受け取る人々だ。なぜならそのメールにフ…

OIDC CIBAのようなDecoupled AuthZ/AuthNプロトコルでリスクベース判定したくない?

おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…

OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは?

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…

ID連携におけるCSRF対策のチェック方法

こんばんは、OAuth‍♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか? お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…

JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方

こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。…

OAuth 2.0 / OpenID Connect の Hybrid Flow への向き合い方

ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…

人はなぜ「フィッシング対策のための2段階認証」「2段階認証を破る新手口!」と雑に言ってしまうのか

おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシ…

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということで…

OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…