Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
パスワードレス認証 パスキーのすべて
Search
tockey
June 19, 2025
Technology
0
13
パスワードレス認証 パスキーのすべて
2025-6-19
ENECHANGE I/O Day アウトプット大会(社内イベント)
tockey
June 19, 2025
Tweet
Share
More Decks by tockey
See All by tockey
シングルサインオンを導入したら運用がこんなに楽になった!
tockey
0
150
コミット履歴キレイですか / clean up commit logs
tockey
0
5.6k
Other Decks in Technology
See All in Technology
地域コミュニティへの「感謝」と「恩返し」 / 20250726jawsug-tochigi
kasacchiful
0
100
AI時代の知識創造 ─GeminiとSECIモデルで読み解く “暗黙知”と創造の境界線
nyagasan
0
160
手動からの解放!!Strands Agents で実現する総合テスト自動化
ideaws
3
390
モバイルゲームの開発を支える基盤の歩み ~再現性のある開発ラインを量産する秘訣~
qualiarts
0
610
会社もクラウドも違うけど 通じたコスト削減テクニック/Cost optimization strategies effective regardless of company or cloud provider
aeonpeople
2
370
AI駆動開発 with MixLeap Study【大阪支部 #3】
lycorptech_jp
PRO
0
270
増え続ける脆弱性に立ち向かう: 事前対策と優先度づけによる 持続可能な脆弱性管理 / Confronting the Rise of Vulnerabilities: Sustainable Management Through Proactive Measures and Prioritization
nttcom
1
210
AWS表彰プログラムとキャリアについて
naoki_0531
1
140
怖くない!GritQLでBiomeプラグインを作ろうよ
pal4de
1
140
「AI駆動開発」のボトルネック『言語化』を効率化するには
taniiicom
1
210
2025-07-25 NOT A HOTEL TECH TALK ━ スマートホーム開発の最前線 ━ SOFTWARE
wakinchan
0
170
新規事業におけるAIリサーチの活用例
ranxxx
0
170
Featured
See All Featured
Thoughts on Productivity
jonyablonski
69
4.8k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.6k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Done Done
chrislema
184
16k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Faster Mobile Websites
deanohume
308
31k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Embracing the Ebb and Flow
colly
86
4.8k
Statistics for Hackers
jakevdp
799
220k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1k
Transcript
パスワードレス認証 パスキーのすべて 2025-6-19 ENECHANGE I/O Day アウトプット大会(社内イベント)
ENECHANGE I/O Day とは ENECHANGEでは3ヶ月に一度の1日間、興味のある新しい技術などをインプットできる日を設ける 「I/O Day」を開催しています。本スライドはこの制度を活用し社内の発表に使用したものです。 過去開催や誕生経緯は弊社の開発者ブログに記事があるので興味があれば御覧ください。 https://tech.enechange.co.jp/entry/20240712_ioday https://tech.enechange.co.jp/entry/2024/10/15/114258
INDEX 世の中の動き 認証とは FIDO2 と パスキー まとめ 1. 2. 3.
4.
急増するフィッシングサイト https://www.fsa.go.jp/o rdinary/chuui/chuui_phis hing.html
多要素認証の必須化が進む証券会社 https://www.nikkei.com/article/DGX ZQOUB24D2X0U5A420C2000000/
多要素認証すれば安心???
OTPも万能ではない https://www.asahi.com/articles/ AST660CKPT66ULFA01VM.html
認証とは
認証って? サービスに登録済のユーザーであることをパスワード等によって認証して確認すること(当人認証) 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード(電話番号を使用する SMSなど)など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証
認証って? サービスに登録済のユーザーであることをパスワード等によって認証して確認すること(当人認証) 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード(電話番号を使用する SMSなど)など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証
2つの要素を組み合わせて認証成功とする=二要素認証 2つ以上だと=多要素認証
セキュリティキー USBで接続して利用できる物理的なデバイス • 複製不可能な鍵を生成し公開鍵暗号方式を用いた電子署名 によって、デバイスの物理的な所有を証明できる • デバイス側に秘密鍵を保持し、認証したいサービス側で公 開鍵を保存する • セキュリティキーの物理ボタンなどを押すなどしてユー
ザー存在テストを行う https://www.yubico.com/yubikey/?lang=ja
セキュリティキーのフィッシング耐性 鍵ペア作成・登録時にドメインを指定し、認証時は同一のドメインでないと認証拒否される enechange.jpで作成された鍵 認証拒否
公開鍵暗号方式を用いた認証 認証を求めるクライアントが、認証先サーバーで作成されるチャレンジと呼ばれる任意データを受け 取って事前に取り決めた処理をして返す。(チャレンジレスポンス方式) 秘密鍵 チャレンジ 39(乱数) 39 を秘密鍵で暗号化 して返す 公開鍵で復号して
39 が手に入る = 秘密鍵の所有者で あることの証明 公開鍵
FIDO2 と パスキー
パスワードレス認証の仕様 FIDO FIDO FIDO2 FIDO U2F FIDO UAF WebAuthn CTAP2
セキュリティキーを二段 階認証の二つ目の認証 手段として扱うための仕 様 パスワードレス認証の 仕様 ブラウザでパスワードレ ス認証を扱うための仕 様 ブラウザが外部の認証 器と通信を行うための 仕様 JS APIがブラウザに実装されなかったため 全然普及しなかった ... 各種ブラウザで実装されたことで FIDO2に対応した認証がサービスに実装され始め ている
FIDO2(パスキー以前) 認証器 ブラウザ Webサービス 認証器とは、クレデンシャル(認証に使用する情報の総称)を生成したり格納したり、認証 したりすることのできるデバイスの総称。セキュリティキーやスマートフォンが該当。 コンピューターであれば、TPM(Trusted Platform Module)と呼ばれるマザボ上の特殊領域に 秘密鍵を保持する。
⇨ デバイス認証と呼ばれることがある CTAP2 WebAuthn
認証器としてのスマートフォン • Touch IDやFace IDをはじめとした生体認証がスマートフォンに当たり前に搭載される ようになったため、追加のデバイスなしに強力な認証要素を使うことができるように なった。 • スマートフォンの持ち主にしかできない「スクリーンロックを解除」できることを当人 認証機能として扱う。(ローカルユーザー検証)これはセキュリティキーにおけるユー
ザー存在テストと同等。 ⇨ 認証器の持ち主であることの検証が、容易に強力な手段でおこなえる
パスキーの登場 2021年 Appleが「PassKey」を発表し、FIDOアライアンスからGoogle, Apple, Microsoftが協調 してPasskeyに対応していくことを表明。 技術的にはデバイス認証の延長にあたり、デバイス認証の特徴を踏襲したうえで以下の特徴が 追加される。 • ディスカバラブルクレデンシャルである
◦ ⇨ 利用可能な鍵情報をサービスが発見可能であること • パスキープロバイダー(パスワードマネージャー)に保存され、同期されること ◦ ⇨ 異なるデバイス間で同一のパスキーを利用できる
Windowsのみ対応。 Windows機であってもデバイスを跨い で同期はできない。 パスキープロバイダー Google パスワードマネージャー iCloud キーチェーン Windows Hello
3rd party macOS, Windows, Android, Linux, CheomeOS, iOS などOSを跨いで同期 可能。 macOS, iOS, iPadOS などで利用でき る。 Appleアカウントに紐付けられた iCloudを通じでデバイス間で同期され る。WindowdやAndoroidではiCloud キーチェーン自体にアクセスできない 3rd partyごとに異なるが、 複数OSが前提となっているものが多 い印象。
パスキーによるログインフロー ニンテンドーストアでの例① 1Password自体のパスワードを入力 (ローカルユーザー検証)
パスキーによるログインフロー ニンテンドーストアでの例② 利用可能なパスキーを表示 (ディスカバラブルクレデンシャル)
パスキーによるログインフロー ニンテンドーストアでの例③
• パスキーは ◦ パスワードマネージャーによって同期され、複数のデバイス間で認証ができる ◦ 登録時のドメインでのみ認証が可能であり、ブラウザが判定してくれるためフィッ シング耐性が非常に高い ◦ ローカルユーザー認証(スマートフォンの生体認証など)と合わせて、パスワード レスが実現できる
まとめ
教材 https://gihyo.jp/book/2025/978-4 -297-14653-5