Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Passkeysのはなし

Iori IKEDA
February 07, 2024
Technology
0
85

 Passkeysのはなし

社内のLT会で Passkeys の紹介をしたものを一部改変して公開した資料です。

Iori IKEDA

February 07, 2024
Tweet

More Decks by Iori IKEDA

See All by Iori IKEDA
RubyLSPのマルチバイト文字対応
notfounds
1
170

Other Decks in Technology

See All in Technology
急成長する企業で作った、エンジニアが輝ける制度/ 20250214 Rinto Ikenoue
shift_evolve
3
1.3k
Larkご案内資料
customercloud
PRO
0
650
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
6
57k
SA Night #2 FinatextのSA思想/SA Night #2 Finatext session
satoshiimai
1
140
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
510
【Developers Summit 2025】プロダクトエンジニアから学ぶ、 ユーザーにより高い価値を届ける技術
niwatakeru
2
1.4k
自動テストの世界に、この5年間で起きたこと
autifyhq
10
8.5k
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
360
組織貢献をするフリーランスエンジニアという生き方
n_takehata
1
1.3k
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
270
2.5Dモデルのすべて
yu4u
2
840
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
700

Featured

See All Featured
GraphQLとの向き合い方2022年版
quramy
44
13k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
174
51k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
7.1k
Faster Mobile Websites
deanohume
306
31k
Docker and Python
trallard
44
3.3k
The Pragmatic Product Professional
lauravandoore
32
6.4k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
KATA
mclloyd
29
14k

Transcript

  1. © 2023 Wantedly, Inc. Passkeys のはなし Tech Lunch Dec. 14

    2023 - Iori IKEDA

  2. ⚠おことわり ⚠ 本資料は社内の(非エンジニア含む)メンバー向けに発表し た内容から公開できないものを取り除いたものです。 正確性よりも分かりやすさを優先して誇張した表現を使って いる箇所があるため予めご了承ください。 © 2023 Wantedly, Inc.

  3. お品書き 1. 認証技術の歴史的背景と進化 2. Passkeys の登場 3. Passkeys のユーザー体験 4.

    Passkeys の実装 5. まとめ © 2023 Wantedly, Inc.

  4. 認証技術の歴史的背景と進化 Section Subhead © 2023 Wantedly, Inc.

  5. 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. 古代ギリシャ 1960年 ~ ~ 2000年

    2020年

  6. 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~ ~ 古代ギリシャ 1960年 2000年

    2020年 合言葉

  7. 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~ ~ 古代ギリシャ 1960年

    2000年 2020年 コンピュータ上でパ スワード利用

  8. 認証技術の歴史的背景と進化 - パスワード認証 © 2023 Wantedly, Inc. • ID/Email とパスワードのペアで認証

    • 利用するサービス数と共に増加 • パスワードの管理/設定方法 ◦ 付箋やメモ帳 ◦ 誕生日や社員番号 ◦ 複数サービスでの共有 ◦ パスワードマネージャー

  9. コンピュータ上でパ スワード利用 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~ ~

    古代ギリシャ 1960年 2000年 2020年 SSO

  10. 認証技術の歴史的背景と進化 - SSO(Single Sign On) © 2023 Wantedly, Inc. •

    メリット ◦ 強力な認証を設定するとそれと同水準になる ◦ 登録時のユーザー体験が良い ▪ それぞれでパスワードを管理する必要がない ▪ ユーザー情報の引き継ぎなど • デメリット ◦ 連携元のアカウントがハッキングされた場合 ◦ 連携元がダウン/API停止/サービス終了した場合 ◦ SSOの実装が複雑

  11. SSO コンピュータ上でパ スワード利用 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly, Inc. ~

    ~ 古代ギリシャ 1960年 2000年 2020年 MFA

  12. 認証技術の歴史的背景と進化 - MFA(Multi Factor Authentication) © 2023 Wantedly, Inc. 認証の三要素

    • 知識 ◦ パスワードやPINなど ◦ 最もよく利用されている • 所持 ◦ 免許証やマイナンバーカード、USBドングル ◦ 物理的に持っている必要があり、紛失や盗難リスク • 生体 ◦ 指紋、顔、静脈、声紋 ◦ 一度生体情報が流出してしまうと使えなくなってしまう

  13. 認証技術の歴史的背景と進化 - MFA(Multi Factor Authentication) © 2023 Wantedly, Inc. 知識(パスワード)

    + α による認証のバリエーション... • SMS へのワンタイムコード送信 • メールへのワンタイムコード送信 • メールへのマジックリンク送信 • TOTP/HOTPなどのワンタイムコード生成機 • USBドングルなどのセキュリティキー • デバイスの生体認証

  14. iPhone5s MFA SSO コンピュータ上でパ スワード利用 合言葉 認証技術の歴史的背景と進化 © 2023 Wantedly,

    Inc. ~ ~ 古代ギリシャ 1960年 2000年 2020年 FIDO

  15. Passkeys の登場 Section Subhead © 2023 Wantedly, Inc.

  16. Passkeys の登場 © 2023 Wantedly, Inc. • FIDO Alliance が提唱

    「パスワード認証を置き換えること」が目的 • FIDO (Fast IDentity Online) ◦ 公開鍵認証方式を使って堅牢な認証を実現する技術 ◦ 一言でいうと... 「端末とサーバーで秘密を共有しない」 • 認証要素 ◦ 所持 + 知識(PIN) ◦ 所持 + 生体(指紋/顔)

  17. Passkeys の登場 © 2023 Wantedly, Inc. • Passkeys = FIDO2

    + マルチデバイス対応 ◦ FIDO2 = WebAuthn + CTAP2 ◦ マルチデバイス対応 ▪ Cloud に FIDO認証資格情報を保存 • デバイスの紛失や破損、移行問題を克服 • ただし... Platform 間(iCloud ⇔ Google) での共有はまだ ▪ Hybrid Transport などの仕組みでカバー Mac 上のブラウザから Android 端末を使って認証

  18. Passkeys のユーザー体験 Section Subhead © 2023 Wantedly, Inc.

  19. Passkeys のユーザー体験 Passwordの設定 © 2023 Wantedly, Inc.

  20. Passwordの設定 Passkeys のユーザー体験 © 2023 Wantedly, Inc. 致しません!!󰢃

  21. Passkeys のユーザー体験 多要素認証の設定 © 2023 Wantedly, Inc.

  22. 多要素認証の設定 Passkeys のユーザー体験 © 2023 Wantedly, Inc. 致しません!!󰢃 ※Passkey利用可能な状態であれば新たに多要素は不要

  23. フィッシングのリスク Passkeys のユーザー体験 © 2023 Wantedly, Inc.

  24. フィッシングのリスク Passkeys のユーザー体験 © 2023 Wantedly, Inc. ございません!!󰢃 ※正確にはPasskeyというよりFIDOがフィッシングに対して強い耐性を持っています

  25. Passkeys のユーザー体験 安心・安全な認証 🎉🎉🎉 © 2023 Wantedly, Inc.

  26. Passkeys のユーザー体験 - 課題 © 2023 Wantedly, Inc. とはいえ課題はある... •

    既存ユーザーに対しての利用訴求どうする? ◦ わざわざ設定画面から登録させる...? • Passkeys が使えない端末でも試してみるまでわからない問題 ◦ Passkey Autofill / conditional UI ▪ ログイン/登録でページを分ける必要がありそう ref: https://moneyforward-dev.jp/entry/2023/04/05/134721

  27. Passkeys の実装 Section Subhead © 2023 Wantedly, Inc.

  28. Passkeys の実装 - 登録 © 2023 Wantedly, Inc. • これ自体は

    FIDO2 のフロー • 構造は SSO に近い? • 肝 ◦ ローカルの認証機に秘密鍵 ◦ サーバーでは署名の検証

  29. Passkeys の実装 - ログイン(別端末) © 2023 Wantedly, Inc. • 認証機がない場合は別端末

    Hybrid transport(caBLE) • 肝 ◦ BLE を使って近距離を保証 ◦ Challenge/QR コードは 有効期限が存在

  30. Passkeys の実装 - 参考情報 © 2023 Wantedly, Inc. • 💻

    Web ◦ https://passkeys.dev/ ◦ https://web.dev/articles/passkey-registration?hl=ja • 📱 Native 特定のドメインに対してアプリを紐づける必要 → apple-app-site-association 等 ◦ 🤖 Android ▪ https://developer.android.com/design/ui/mobile/guides/patterns/p asskeys?hl=ja ▪ https://developer.android.com/training/sign-in/passkeys?hl=ja ◦ 🍎 iOS ▪ https://support.apple.com/ja-jp/guide/iphone/iphf538ea8d0/ios ▪ https://developer.apple.com/documentation/authenticationservice s/connecting_to_a_service_with_passkeys

  31. まとめ • Passkeys は安全で便利なパスワードレス認証を目的 ◦ FIDO 認証を利用 ▪ フィッシング耐性が強い ▪

    生体データは認証機内に閉じる ◦ 複数デバイス間で FIDO 認証資格情報を共有できる点が肝 • フェーズ ◦ 個人で利用する分には OK。むしろ推奨 ◦ サービス提供者としてはユーザー体験を考える必要がある ▪ 完全にパスワードレスにするか ▪ 既存のユーザーの移行戦略 ▪ ログイン/新規登録画面の UI/UX ▪ Web/Native App への展開 © 2023 Wantedly, Inc.