15分でサクッとパスキー入門

by Auth屋

Slide 1

Slide 1 text

15分でサクッとパスキー入門 Oﬀers_DeepDive 2025 年 4 月 17 日 Auth屋 1

Slide 2

Slide 2 text

Auth屋 is 誰？ OAuth2.0、OpenID Connectの本を書いてます商業誌同人誌 Boothで販売中 https://authya.booth.pm/ Amazon、その他書店で発売中 2

Slide 3

Slide 3 text

Auth屋 is 誰？ 3 パスキーの同人誌も書きました https://booth.pm/ja/items/5266166

Slide 4

Slide 4 text

本公演の趣旨 4 ● 「パスキー認証なにもわからない」勢向け ● パスキー認証の仕組み、メリット、制限を説明します

Slide 5

Slide 5 text

パスキー認証の仕組み 5

Slide 6

Slide 6 text

パスキー認証とは 6 パスワードマネージャー FIDO認証パスキー認証

Slide 7

Slide 7 text

秘密鍵はEnd to Endで暗号化される 7 暗号秘密鍵は暗号化してから同期復号プラットフォームでも秘密鍵を見ることはできない

Slide 8

Slide 8 text

デバイスの買い換え・紛失時 8 秘密鍵は暗号化してバックアッププラットフォームにログインしたうえでパスコードなどで復元古いデバイス新しいデバイスプラットフォーム

Slide 9

Slide 9 text

生体情報は同期しない 9

Slide 10

Slide 10 text

生体情報はネットワークを通らない 10

Slide 11

Slide 11 text

認証の流れ 11 ユーザー認証器ウェブページサーバーブラウザドメイン(RP ID)に紐付けてユーザーの秘密鍵を管理ユーザーの公開鍵を管理

Slide 12

Slide 12 text

認証の流れ 12 ユーザー認証器ウェブページサーバー ①認証要求 ② 乱数生成 ⑥認証器呼び出し ⑦ 指紋要求 ⑧ 指を当てる ⑨ 秘密鍵で乱数に署名 ⑩ 署名済み乱数 ⑪ 公開鍵で署名検証ブラウザ ③ 乱数送信 ⑫認証成功 ⑤ ドメインチェック ④WebAuthn呼び出し

Slide 13

Slide 13 text

共有PCでログイン 13 自分のデバイスハイブリッドトランスポート

Slide 14

Slide 14 text

パスキー認証のメリット 14

Slide 15

Slide 15 text

フィッシング攻撃が成立しない 15 ユーザー認証器フィッシングサイト正規のサーバー ①認証要求 ② 乱数生成ブラウザ ③ 乱数送信 ⑤ ドメインチェック ④WebAuthn呼び出し正規ドメインに紐付いた秘密鍵を呼び出せない ⑥認証器呼び出し正規ドメインに紐付けて秘密鍵を管理

Slide 16

Slide 16 text

アカウント乗っ取り攻撃が成立しない 16

Slide 17

Slide 17 text

サーバー側の漏洩リスクが低い 17

Slide 18

Slide 18 text

ログインUXがシンプル 18

Slide 19

Slide 19 text

ログインUXがシンプル | オートフィル 19

Slide 20

Slide 20 text

ログインUXがシンプル | オートフィル 20

Slide 21

Slide 21 text

ログインUXがシンプル | オートフィル 21

Slide 22

Slide 22 text

ログインUXがシンプル | ワンボタンログイン 22

Slide 23

Slide 23 text

ログインUXがシンプル | ワンボタンログイン 23

Slide 24

Slide 24 text

ログインUXがシンプル | 効果 24 2024年12月12日 FIDO 東京セミナー関連記事[1][2]より抜粋 ● ソニー・インタラクティブエンタテインメント（PlayStation） ○ サインイン時間約24%短縮 ● Google ○ サインイン成功率 30%向上 ○ サインイン速度 20％向上 ● LINEヤフー（Yahoo! Japan ID） ○ SMSを用いたワンタイムパスワード（OTP）認証に比べて2.6倍速い ● 東急電鉄（TOKYU ID） ○ パスワード＋メールOTP認証に比べて12倍速い

Slide 25

Slide 25 text

パスキー認証利用についての注意事項 25

Slide 26

Slide 26 text

パスキー認証利用についての注意事項 26 ● 秘密鍵の同期範囲 ● パスキー認証特有の攻撃

Slide 27

Slide 27 text

秘密鍵の同期範囲 27 ● 利用するパスワードマネージャ、ブラウザによって同期できる範囲が規定される

Slide 28

Slide 28 text

秘密鍵の同期範囲 28 Googleパスワードマネージャー、Chromeを使う場合 Google パスワードマネージャー

Slide 29

Slide 29 text

秘密鍵の同期範囲 29 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン

Slide 30

Slide 30 text

秘密鍵の同期範囲 30 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン

Slide 31

Slide 31 text

秘密鍵の同期範囲 31 WinでEdgeを使う場合

Slide 32

Slide 32 text

パスキー認証特有の攻撃 ● ハイブリッドトランスポートのQRコードを利用した攻撃 ● 秘密鍵のエクスポート、インポート機能 ● 普及につれてこれからでてくるだろう 32

Slide 33

Slide 33 text

パスキー認証導入の検討事項 33

Slide 34

Slide 34 text

パスキー認証導入時の検討事項 34 ● 登録およびログインのUX ○ パスワードでログイン後にパスキー作成に誘導？ ■ 自動で作成する？ ○ オートフィル or ワンボタン or その他？ ● 既存ログインフローとの関係 ○ パスキーを優先させる？ ● パスキー認証非対応環境 ○ 古いバージョンのOS、ブラウザ ● エラー発生時のケア ● リカバリー

Slide 35

Slide 35 text

ご静聴ありがとうございました 35