ログイン体験を上げるための、パスキーという選択肢

Transcript

1. ログイン体験を上げるための、パスキーという選択肢 株式会社マネーフォワード CTO室 IDサービス開発部 佐々木 邪馬斗

2. About Me 佐々木　邪馬斗 CTO室　IDサービス開発部 @8ma10s 2020年に新卒としてマネーフォワードに入社。 全社的な技術的負債の解消をミッションとする CTO室の一員として、マイクロ サービスの開発や、他プロダクトの基盤移行、負債解消などを経験したのち、 同CTO室のIDサービス開発部に異動。全社

   ID基盤の開発を担当。

3. About Money Forward - 「お金を前へ、人生を前へ」を Missionに、様々なプロダクトを作っています - 家 出典 :

   株式会社マネーフォワード 会社紹介資料

4. About Money Forward 今日は、これらのプロダクトを支える ID基盤「マネーフォワード ID」で使われている技術の話 ビジネス向けプロダクト 個人向けプロダクト

5. マネーフォワード IDとは • 端的にいうとSSO（シングルサインオン） • 各プロダクトに個別にアカウントを作ったりログインしたりしなくても、 1つのIDで全てのプロダク トにログインできる 学認のシステムと同じ

6. マネーフォワード IDが抱えている課題 「ログイン」という行為が、ユーザーの体験を損ねている • 久々に家計簿を見ようと思ったら、パスワードを忘れた • 最悪の場合、プロダクトを使わなくなるという事態が生じる ユーザーはログインをしたいのではなく、家計簿などのプロダクトを使いたいだけ とはいえ、ログインをスキップさせるわけにもいかない。どうするか

7. パスキーとは ここから本題 パスキーとは、公開鍵暗号の仕組みを使って、パスワードを入力せずに認証が行える仕組み 入力欄にフォーカスすると パスキーを利用するか聞かれる ローカル認証を完了させると ... あっという間にログイン完了

8. パスキーとは • ユーザー視点で見ると「パスワードを入力せずに、顔や指紋でログインできる」ような仕組み • 最近だと、GoogleやGitHub、Yahoo!JAPANなど、様々なサービスがパスキーを使ってログインできる ようになってきている

9. パスキーの何がすごいのか 従来の認証方法と比べた時のセキュリティ上の優位性は一目瞭然 パスワード パスワード + TOTP/SMS パスキー 総当たり耐性 弱い 強い

   強い 使いまわし 可能 不可能 不可能 デバイスの盗難 - - 強い フィッシング 弱い 弱い 強い サーバーからの漏洩 弱い 弱い 強い 出典 : WWDC2022 - Meet Passkeys

10. フィッシング耐性 従来の認証方式の多くは、フィッシングのリスクがあった • 情報処理推進機構（ IPA）が出している情報セキュリティ 10大脅威 で2年連続1位になっている 実際、従来の認証手段の多くは、フィッシング耐性を仕組みとして備えて いない •

    詐欺サイトにパスワードを入力してしまう • SMSに飛んできた認証リンクを、誤ってクリックしてしまう 出典 : 情報処理推進機構 情報セキュリティ10大脅威

11. フィッシング耐性 パスキーを使ってログインする場合、人間ではなく ブラウザやWebサ イトがチェックを行う • ①認証を要求してきたサイトのドメインが、リクエストに含まれるドメインに 一致しているか • ②署名されたレスポンスに含まれるドメインが、自身のドメインに一致して いるか

12. ユーザー体験を損ねない二要素認証 が、ログイン時にこれらを複数要求すると、 通常はユーザー体験が下がる 検証するもの 認証手段の例 What you know 記憶 パスワード

    What you have デバイスの所持 SMS、ワンタイムコード What you are 生体情報（指紋・顔） Face ID、Touch ID なりすまし防止の観点から、複数の要素で認証するのが主流になっている

13. ユーザー体験を損ねない二要素認証 1. デバイス（に保存された秘密鍵）を所持していること = What you have 2. 秘密鍵を取り出すためのデバイス内認証ができること ◦

    PIN、パスコード = What you know ◦ 顔認証、指紋認証 = What you are 1ステップで2つの要素を確認することができる 一方、パスキーの認証の場合 1. デバイスに保存されたパスキーを 2. 生体認証/PINなどで取り出す

14. セキュリティ+ 使いやすさ ただ、これらのセキュリティメリットはあくまで副次的なもの これらの「セキュリティ」と「使いやすさ」を両立できていることが一番すごい • パスワードのように記憶する必要もない • TOTP（ワンタイムコード）のように常に携帯を取り出す必要もない • そして、認証時にかかる時間も少ない

    セキュリティを担保しつつ、ログイン体験も向上できる。いいとこ取りのような技術

15. パスキーをユーザーにどう見せるか これだけ便利なパスキーだが、 ユーザーに使ってもらえないのでは 意味がない • ユーザーに「パスワード」と「パスキー」の違いを意識させないような 工夫が必要 • そのために、「Passkey autofill」という技術を利用して

    パスキーログインを実装している 技術を利用するだけではなく、その先のユーザー体験まで考える 従来のブラウザのパスワード自動補完と似たような UI Passkey autofillについてはブログにもまとめています

16. まとめ • ログインをいかにシームレスな体験にするかが ID基盤としての課題 • パスキーは、使いやすさとセキュリティを両立できる 認証の仕組み • とはいえユーザーに使ってもらえないのでは意味がないので、 passkey

    autofillなどを活かして、従来の パスワードログインに慣れたユーザーの体験を大きく変えない工夫 をしている

17. マネーフォワードを もっと知りたい方へ ①8/30 新卒2年目登壇イベント開催 【マネフォ×pixiv×STORES】22卒エンジニアが語る、 自社サービス開発のやりがいと成長機会 8月30日18:30〜20:30@オンライン ▶https://hey.connpass.com/event/291207/ ②Money Forward

    Developers Blog 年間100記事更新するテックブログを check ▶https://moneyforward-dev.jp/