Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスワードレス認証~入門編~

Avatar for peridotan peridotan
June 14, 2023
Technology
0
260

 パスワードレス認証~入門編~

2023年6月14日(水)に実施したServerless Frontend Meetup #3 「認証・認可」の「パスワードレス認証 ~入門編~」資料です。

Avatar for peridotan

peridotan

June 14, 2023
Tweet

Other Decks in Technology

See All in Technology
はじめてのOSS開発からみえたGo言語の強み
Avatar for shibutani shibukazu
1
150
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
6
380k
【実演版】カンファレンス登壇者・スタッフにこそ知ってほしいマイクの使い方 / 大吉祥寺.pm 2025
Avatar for Arthur arthur1
1
870
[ JAWS-UG 東京 CommunityBuilders Night #2 ]SlackとAmazon Q Developerで 運用効率化を模索する
Avatar for sh_fk2 sh_fk2
3
430
「何となくテストする」を卒業するためにプロダクトが動く仕組みを理解しよう
Avatar for kawabeaver kawabeaver
0
410
Generative AI Japan 第一回生成AI実践研究会「AI駆動開発の現在地──ブレイクスルーの鍵を握るのはデータ領域」
Avatar for KoheiOgawa shisyu_gaku
0
270
「全員プロダクトマネージャー」を実現する、Cursorによる仕様検討の自動運転
Avatar for Michiru Kato applism118
21
11k
要件定義・デザインフェーズでもAIを活用して、コミュニケーションの密度を高める
Avatar for KazukiHayase kazukihayase
0
120
まずはマネコンでちゃちゃっと作ってから、それをCDKにしてみよか。
Avatar for ヤマダ(北野) yamada_r
2
110
人工衛星のファームウェアをRustで書く理由
Avatar for KOBA789 koba789
15
7.9k
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
220
現場で効くClaude Code ─ 最新動向と企業導入
Avatar for TakaakiKakei takaakikakei
1
250

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
272
27k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
64
7.9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
431
66k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
279
23k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.4k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
13k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
520
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.5k
Fireside Chat
Avatar for paigeccino paigeccino
39
3.6k

Transcript

  1. Serverless Frontend Meetup #3 「認証・認可」 パスワードレス認証 ~入門編~ 2023/06/14 橄欖石庵(ぺりどっとあん) 1

  2. 本日のアジェンダ • 自己紹介 • パスワードレス認証 ~入門編~ • おまけ 2

  3. 自己紹介 • 名前:橄欖石庵(ぺりどっとあん) / 斎藤 知明(Tomoaki SAITO) • 生年月日:昭和50年8月14日生まれ(しし座/O型) •

    本業:某SIerでセキュリティコンサル/プリセールス(専門領域:デジタルアイデンティティ)、転職3社目 • エンジニア経験:若いころシステムエンジニア、開発経験ほとんど無し • 社外活動:JNSA デジタルアイデンティティWG所属(啓蒙活動) • 副業:本を書いたりしています(本日は「副業」として登壇) 3 ※画像アイコンは https://ai-art.tokyo/ で 生成しています

  4. パスワードレス認証 ~入門編~ 4

  5. そもそもパスワード認証とは (パスワードレス認証を語る前に) • 認証で使われる要素の一つ • 認証の要素は大きく分けて3種類 ① Something you know(知識認証、とも言います)

    ② Something you have(所持認証/所有者認証、とも言います) ③ Something you are(生体認証、とも言います) • パスワードは「Something you know」 • 非常に有名な認証の要素で、おそらく使ったことがない人はいない、のでは? 5

  6. パスワード認証って、良いの?悪いの? • 良い点(メリット) • 覚えていれば、いつでもどこでも使える • 他の要素(Something you have/are)だと、デバイスとかリーダーとかが必要 •

    基本、紛失することは無い(デバイスやリーダーがないため、盗難の恐れはない) • 悪い点(デメリット) • 紛失はないけど、忘れることはある(入力を間違えることも、ある) • 忘れるのが嫌で(あるいは入力が手間で)、簡単な(覚えやすい)パスワードを設定しがち • 他人に推測されるかも… • Webサービス/クラウドサービス毎に使い分けるのが面倒だと、同じパスワードを使いまわすかも • ID/パスワードが漏洩すると、別のWebサービス/クラウドサービスが侵害されるかも… 6

  7. パスワード認証のデメリット(図解) • パスワードは他の要素と比較すると、盗まれやすい(盗みやすい)傾向があります。 ID/PWD ID/PWD ID/PWD ID/PWD ダークウェブ ID/PWD ID/PWD

    別のクラウド 7 安全太郎(仮)さん

  8. (余談)簡単なパスワード、使ってない? • 「Nord Security」社が、よく使われているパスワードを公開しています。 • https://nordpass.com/most-common-passwords-list/ 8

  9. (余談)そのパスワード、漏洩してるかも? • 「‘;--have i been pwned?」では、パスワードが漏洩しているかどうか、確認できます。 • https://haveibeenpwned.com/ 9

  10. どうすれば認証強化できるの? 10 No. 認証強化方法 説明 1 パスワードポリシー パスワードに利用できる文字列や、パスワード設定時の制約を定義 2 パスワードマネジャー

    アプリやブラウザ拡張でID/パスワードを管理 3 ID連携 SAML/OIDC等を使用し、パスワードの利用機会を低減 ※OIDC…OpenID Connect 4 MFA パスワードの他に、別の要素を使用して認証 ※MFA…Multi-Factor Authentication 5 パスワードレス パスワード以外の要素を使用して認証(パスワードを使用しない)

  11. パスワードレスって、どんなものがあるの? 11 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you

    have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない FIDO2 (関連)

  12. FIDO2は何が良いのか? 12 • 公開鍵暗号方式の鍵を取り出す際のトリガーとして生体認証が使用できる • 生体認証の情報(指紋等のクレデンシャル情報)がインターネット上のサーバに流通(流出)しない

  13. 認証フローの違い(before FIDO) 13 ① ② ③ ✔ ④ ⑤ サーバ(クラウド)上に

    生体情報が保持 ネットワーク(インターネット)上に 生体情報が流通

  14. 認証フローの違い(after FIDO2) 14 ① ② Platform Authenticator User Agent ③

    ⑤ ⑥ ⑧ WebAuthn Relying Party private key public key public key 認証OK Platform Authenticator 認証OK Platform Authenticator 認証OK Platform Authenticator ✔ ⑦ ④ ✔ サーバ(クラウド)上に 生体情報が無い ネットワーク(インターネット)上に 生体情報が流通しない

  15. パスワードレスって、どんなものがあるの? 15 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you

    have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない

  16. FIDO2の課題(シングルデバイス) 16 private key public key × public key ①

    ② ③ ④

  17. Passkeysによる対応(マルチデバイス) 17 private key public key private key public key

    private key public key public key ① ② ③ ④ ① ' ① ''

  18. パスワードレス認証:デモ • デモ自体は結構地味です… • デモ環境のシステム構成図は次の通りです。 18 デモWebサイト (SAML SP) ×NG

    Workforce Identity Cloud SAML ✔OK Password Passwordless ✔OK SAML ユーザー: passless1@p ユーザー: passuser1@p

  19. まとめ 19 • パスワードレス認証とは • パスワードを使用しない認証のこと • 様々な種類があり、今後はFIDO2/Passkeysが主流に • Okta等のIDaaSを活用することで比較的容易にパスワードレス認証を実現

  20. おまけ:参考文献 • NIST SP800-63 • https://pages.nist.gov/800-63-3/ • Okta Developer •

    https://developer.okta.com/ • Yubikey Bio • https://www.yubico.com/yubikey/?lang=ja • RSA Simple Test Service Provider • https://sptest.iamshowcase.com/ • Microsoft Achieves FIDO2 Certification for Windows Hello • https://fidoalliance.org/microsoft-achieves-fido2-certification-for-windows-hello/ • iOSおよびMacOSにおいてFIDO認証をサポート • https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos-jp/?lang=ja • Apple、Google、Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明 • https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 20

  21. おまけ:わたくしごと • 本、出しています • 同人誌が中心ですが、商業誌もあります。 • 技術書典:橄欖石庵:https://techbookfest.org/organization/98FQw8FY5zP58bgzPMpPf6 • ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証

    【電子書籍のみ】 • Git for Windows + Re:VIEWで電子書籍を作ろう 【電子書籍のみ】 • インプレス NextPublishing:https://nextpublishing.jp/book/16438.html • 実践入門ユーザー認証 試して学ぶパスワードレス 【電子書籍】【紙書籍】 • 同人誌の「ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証」と商業誌の「実践入門ユーザー認証 試して学ぶ パスワードレス」は中身一緒です(購入時はご注意ください!) • Twitter/GitHubのアカウント持ってます。 • https://twitter.com/peridotan • https://github.com/peridotan 21

  22. ご清聴 ありがとうございました! 22