Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Passkeysのはなし

Avatar for Iori IKEDA Iori IKEDA
February 07, 2024
Technology
0
110

 Passkeysのはなし

社内のLT会で Passkeys の紹介をしたものを一部改変して公開した資料です。

Avatar for Iori IKEDA

Iori IKEDA

February 07, 2024
Tweet

More Decks by Iori IKEDA

See All by Iori IKEDA
RubyLSPのマルチバイト文字対応
Avatar for Iori IKEDA notfounds
1
220

Other Decks in Technology

See All in Technology
専門分化が進む分業下でもユーザーが本当に欲しかったものを追求するプロダクトマネジメント/Focus on real user needs despite deep specialization and division of labor
Avatar for moriyuya moriyuya
1
1.3k
AI関数が早くなったので試してみよう
Avatar for kumakura koki kumakura
0
280
「AIと一緒にやる」が当たり前になるまでの奮闘記
Avatar for KAKEHASHI kakehashi
PRO
3
140
Amazon Q Developerを活用したアーキテクチャのリファクタリング
Avatar for k1nakayama k1nakayama
2
210
Rubyの国のPerlMonger
Avatar for AnaTofuZ anatofuz
3
730
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
Avatar for LayerX layerx
PRO
9
2.2k
リリース2ヶ月で収益化した話
Avatar for Ken.T kent_code3
1
250
MCP認可の現在地と自律型エージェント対応に向けた課題 / MCP Authorization Today and Challenges to Support Autonomous Agents
Avatar for Yoichi Kawasaki yokawasa
5
2.3k
GMOペパボのデータ基盤とデータ活用の現在地 / Current State of GMO Pepabo's Data Infrastructure and Data Utilization
Avatar for Hiroka Zaitsu zaimy
3
210
僕たちが「開発しやすさ」を求め 模索し続けたアーキテクチャ #アーキテクチャ勉強会_findy
Avatar for 弁護士ドットコム bengo4com
0
2.3k
AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント
Avatar for Hayato Tan htan
1
240
オブザーバビリティプラットフォーム開発におけるオブザーバビリティとの向き合い / Hatena Engineer Seminar #34 オブザーバビリティの実現と運用編
Avatar for Arthur arthur1
0
380

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.4k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
301
21k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.8k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
235
140k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.5k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
56
5.7k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
43
7.4k

Transcript

  1. © 2023 Wantedly, Inc. Passkeys のはなし Tech Lunch Dec. 14

    2023 - Iori IKEDA

  2. ⚠おことわり ⚠ 本資料は社内の(非エンジニア含む)メンバー向けに発表し た内容から公開できないものを取り除いたものです。 正確性よりも分かりやすさを優先して誇張した表現を使って いる箇所があるため予めご了承ください。 © 2023 Wantedly, Inc.

  3. お品書き 1. 認証技術の歴史的背景と進化 2. Passkeys の登場 3. Passkeys のユーザー体験 4.

    Passkeys の実装 5. まとめ © 2023 Wantedly, Inc.

  4. 認証技術の歴史的背景と進化 Section Subhead © 2023 Wantedly, Inc.

  5. 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. 古代ギリシャ 1960年 ~ ~ 2000年

    2020年

  6. 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~ ~ 古代ギリシャ 1960年 2000年

    2020年 合言葉

  7. 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~ ~ 古代ギリシャ 1960年

    2000年 2020年 コンピュータ上でパ スワード利用

  8. 認証技術の歴史的背景と進化 - パスワード認証 © 2023 Wantedly, Inc. • ID/Email とパスワードのペアで認証

    • 利用するサービス数と共に増加 • パスワードの管理/設定方法 ◦ 付箋やメモ帳 ◦ 誕生日や社員番号 ◦ 複数サービスでの共有 ◦ パスワードマネージャー

  9. コンピュータ上でパ スワード利用 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~ ~

    古代ギリシャ 1960年 2000年 2020年 SSO

  10. 認証技術の歴史的背景と進化 - SSO(Single Sign On) © 2023 Wantedly, Inc. •

    メリット ◦ 強力な認証を設定するとそれと同水準になる ◦ 登録時のユーザー体験が良い ▪ それぞれでパスワードを管理する必要がない ▪ ユーザー情報の引き継ぎなど • デメリット ◦ 連携元のアカウントがハッキングされた場合 ◦ 連携元がダウン/API停止/サービス終了した場合 ◦ SSOの実装が複雑

  11. SSO コンピュータ上でパ スワード利用 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~

    ~ 古代ギリシャ 1960年 2000年 2020年 MFA

  12. 認証技術の歴史的背景と進化 - MFA(Multi Factor Authentication) © 2023 Wantedly, Inc. 認証の三要素

    • 知識 ◦ パスワードやPINなど ◦ 最もよく利用されている • 所持 ◦ 免許証やマイナンバーカード、USBドングル ◦ 物理的に持っている必要があり、紛失や盗難リスク • 生体 ◦ 指紋、顔、静脈、声紋 ◦ 一度生体情報が流出してしまうと使えなくなってしまう

  13. 認証技術の歴史的背景と進化 - MFA(Multi Factor Authentication) © 2023 Wantedly, Inc. 知識(パスワード)

    + α による認証のバリエーション... • SMS へのワンタイムコード送信 • メールへのワンタイムコード送信 • メールへのマジックリンク送信 • TOTP/HOTPなどのワンタイムコード生成機 • USBドングルなどのセキュリティキー • デバイスの生体認証

  14. iPhone5s MFA SSO コンピュータ上でパ スワード利用 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly,

    Inc. ~ ~ 古代ギリシャ 1960年 2000年 2020年 FIDO

  15. Passkeys の登場 Section Subhead © 2023 Wantedly, Inc.

  16. Passkeys の登場 © 2023 Wantedly, Inc. • FIDO Alliance が提唱

    「パスワード認証を置き換えること」が目的 • FIDO (Fast IDentity Online) ◦ 公開鍵認証方式を使って堅牢な認証を実現する技術 ◦ 一言でいうと... 「端末とサーバーで秘密を共有しない」 • 認証要素 ◦ 所持 + 知識(PIN) ◦ 所持 + 生体(指紋/顔)

  17. Passkeys の登場 © 2023 Wantedly, Inc. • Passkeys = FIDO2

    + マルチデバイス対応 ◦ FIDO2 = WebAuthn + CTAP2 ◦ マルチデバイス対応 ▪ Cloud に FIDO認証資格情報を保存 • デバイスの紛失や破損、移行問題を克服 • ただし... Platform 間(iCloud ⇔ Google) での共有はまだ ▪ Hybrid Transport などの仕組みでカバー Mac 上のブラウザから Android 端末を使って認証

  18. Passkeys のユーザー体験 Section Subhead © 2023 Wantedly, Inc.

  19. Passkeys のユーザー体験 Passwordの設定 © 2023 Wantedly, Inc.

  20. Passwordの設定 Passkeys のユーザー体験 © 2023 Wantedly, Inc. 致しません!!󰢃

  21. Passkeys のユーザー体験 多要素認証の設定 © 2023 Wantedly, Inc.

  22. 多要素認証の設定 Passkeys のユーザー体験 © 2023 Wantedly, Inc. 致しません!!󰢃 ※Passkey利用可能な状態であれば新たに多要素は不要

  23. フィッシングのリスク Passkeys のユーザー体験 © 2023 Wantedly, Inc.

  24. フィッシングのリスク Passkeys のユーザー体験 © 2023 Wantedly, Inc. ございません!!󰢃 ※正確にはPasskeyというよりFIDOがフィッシングに対して強い耐性を持っています

  25. Passkeys のユーザー体験 安心・安全な認証 🎉🎉🎉 © 2023 Wantedly, Inc.

  26. Passkeys のユーザー体験 - 課題 © 2023 Wantedly, Inc. とはいえ課題はある... •

    既存ユーザーに対しての利用訴求どうする? ◦ わざわざ設定画面から登録させる...? • Passkeys が使えない端末でも試してみるまでわからない問題 ◦ Passkey Autofill / conditional UI ▪ ログイン/登録でページを分ける必要がありそう ref: https://moneyforward-dev.jp/entry/2023/04/05/134721

  27. Passkeys の実装 Section Subhead © 2023 Wantedly, Inc.

  28. Passkeys の実装 - 登録 © 2023 Wantedly, Inc. • これ自体は

    FIDO2 のフロー • 構造は SSO に近い? • 肝 ◦ ローカルの認証機に秘密鍵 ◦ サーバーでは署名の検証

  29. Passkeys の実装 - ログイン(別端末) © 2023 Wantedly, Inc. • 認証機がない場合は別端末

    Hybrid transport(caBLE) • 肝 ◦ BLE を使って近距離を保証 ◦ Challenge/QR コードは 有効期限が存在

  30. Passkeys の実装 - 参考情報 © 2023 Wantedly, Inc. • 💻

    Web ◦ https://passkeys.dev/ ◦ https://web.dev/articles/passkey-registration?hl=ja • 📱 Native 特定のドメインに対してアプリを紐づける必要 → apple-app-site-association 等 ◦ 🤖 Android ▪ https://developer.android.com/design/ui/mobile/guides/patterns/p asskeys?hl=ja ▪ https://developer.android.com/training/sign-in/passkeys?hl=ja ◦ 🍎 iOS ▪ https://support.apple.com/ja-jp/guide/iphone/iphf538ea8d0/ios ▪ https://developer.apple.com/documentation/authenticationservice s/connecting_to_a_service_with_passkeys

  31. まとめ • Passkeys は安全で便利なパスワードレス認証を目的 ◦ FIDO 認証を利用 ▪ フィッシング耐性が強い ▪

    生体データは認証機内に閉じる ◦ 複数デバイス間で FIDO 認証資格情報を共有できる点が肝 • フェーズ ◦ 個人で利用する分には OK。むしろ推奨 ◦ サービス提供者としてはユーザー体験を考える必要がある ▪ 完全にパスワードレスにするか ▪ 既存のユーザーの移行戦略 ▪ ログイン/新規登録画面の UI/UX ▪ Web/Native App への展開 © 2023 Wantedly, Inc.