パスワードレス認証 パスキーのすべて

Transcript

1. パスワードレス認証 パスキーのすべて 2025-6-19 ENECHANGE I/O Day アウトプット大会（社内イベント）

2. ENECHANGE I/O Day とは ENECHANGEでは3ヶ月に一度の1日間、興味のある新しい技術などをインプットできる日を設ける 「I/O Day」を開催しています。本スライドはこの制度を活用し社内の発表に使用したものです。 過去開催や誕生経緯は弊社の開発者ブログに記事があるので興味があれば御覧ください。 https://tech.enechange.co.jp/entry/20240712_ioday https://tech.enechange.co.jp/entry/2024/10/15/114258

3. INDEX 世の中の動き 認証とは FIDO2 と パスキー まとめ 1. 2. 3.

   4.

4. 急増するフィッシングサイト https://www.fsa.go.jp/o rdinary/chuui/chuui_phis hing.html

5. 多要素認証の必須化が進む証券会社 https://www.nikkei.com/article/DGX ZQOUB24D2X0U5A420C2000000/

6. 多要素認証すれば安心？？？

7. OTPも万能ではない https://www.asahi.com/articles/ AST660CKPT66ULFA01VM.html

8. 認証とは

9. 認証って？ サービスに登録済のユーザーであることをパスワード等によって認証して確認すること（当人認証） 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード（電話番号を使用する SMSなど）など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証

10. 認証って？ サービスに登録済のユーザーであることをパスワード等によって認証して確認すること（当人認証） 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード（電話番号を使用する SMSなど）など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証

    2つの要素を組み合わせて認証成功とする=二要素認証 2つ以上だと=多要素認証

11. セキュリティキー USBで接続して利用できる物理的なデバイス • 複製不可能な鍵を生成し公開鍵暗号方式を用いた電子署名 によって、デバイスの物理的な所有を証明できる • デバイス側に秘密鍵を保持し、認証したいサービス側で公 開鍵を保存する • セキュリティキーの物理ボタンなどを押すなどしてユー

    ザー存在テストを行う https://www.yubico.com/yubikey/?lang=ja

12. セキュリティキーのフィッシング耐性 鍵ペア作成・登録時にドメインを指定し、認証時は同一のドメインでないと認証拒否される enechange.jpで作成された鍵 認証拒否

13. 公開鍵暗号方式を用いた認証 認証を求めるクライアントが、認証先サーバーで作成されるチャレンジと呼ばれる任意データを受け 取って事前に取り決めた処理をして返す。（チャレンジレスポンス方式） 秘密鍵 チャレンジ 39（乱数） 39 を秘密鍵で暗号化 して返す 公開鍵で復号して

    39 が手に入る = 秘密鍵の所有者で あることの証明 公開鍵

14. FIDO2 と パスキー

15. パスワードレス認証の仕様 FIDO FIDO FIDO2 FIDO U2F FIDO UAF WebAuthn CTAP2

    セキュリティキーを二段 階認証の二つ目の認証 手段として扱うための仕 様 パスワードレス認証の 仕様 ブラウザでパスワードレ ス認証を扱うための仕 様 ブラウザが外部の認証 器と通信を行うための 仕様 JS APIがブラウザに実装されなかったため 全然普及しなかった ... 各種ブラウザで実装されたことで FIDO2に対応した認証がサービスに実装され始め ている

16. FIDO2（パスキー以前） 認証器 ブラウザ Webサービス 認証器とは、クレデンシャル（認証に使用する情報の総称）を生成したり格納したり、認証 したりすることのできるデバイスの総称。セキュリティキーやスマートフォンが該当。 コンピューターであれば、TPM(Trusted Platform Module)と呼ばれるマザボ上の特殊領域に 秘密鍵を保持する。

    ⇨ デバイス認証と呼ばれることがある CTAP2 WebAuthn

17. 認証器としてのスマートフォン • Touch IDやFace IDをはじめとした生体認証がスマートフォンに当たり前に搭載される ようになったため、追加のデバイスなしに強力な認証要素を使うことができるように なった。 • スマートフォンの持ち主にしかできない「スクリーンロックを解除」できることを当人 認証機能として扱う。（ローカルユーザー検証）これはセキュリティキーにおけるユー

    ザー存在テストと同等。 ⇨ 認証器の持ち主であることの検証が、容易に強力な手段でおこなえる

18. パスキーの登場 2021年 Appleが「PassKey」を発表し、FIDOアライアンスからGoogle, Apple, Microsoftが協調 してPasskeyに対応していくことを表明。 技術的にはデバイス認証の延長にあたり、デバイス認証の特徴を踏襲したうえで以下の特徴が 追加される。 • ディスカバラブルクレデンシャルである

    ◦ ⇨ 利用可能な鍵情報をサービスが発見可能であること • パスキープロバイダー（パスワードマネージャー）に保存され、同期されること ◦ ⇨ 異なるデバイス間で同一のパスキーを利用できる

19. Windowsのみ対応。 Windows機であってもデバイスを跨い で同期はできない。 パスキープロバイダー Google パスワードマネージャー iCloud キーチェーン Windows Hello

    3rd party macOS, Windows, Android, Linux, CheomeOS, iOS などOSを跨いで同期 可能。 macOS, iOS, iPadOS などで利用でき る。 Appleアカウントに紐付けられた iCloudを通じでデバイス間で同期され る。WindowdやAndoroidではiCloud キーチェーン自体にアクセスできない 3rd partyごとに異なるが、 複数OSが前提となっているものが多 い印象。

20. パスキーによるログインフロー ニンテンドーストアでの例① 1Password自体のパスワードを入力 （ローカルユーザー検証）

21. パスキーによるログインフロー ニンテンドーストアでの例② 利用可能なパスキーを表示 （ディスカバラブルクレデンシャル）

22. パスキーによるログインフロー ニンテンドーストアでの例③

23. • パスキーは ◦ パスワードマネージャーによって同期され、複数のデバイス間で認証ができる ◦ 登録時のドメインでのみ認証が可能であり、ブラウザが判定してくれるためフィッ シング耐性が非常に高い ◦ ローカルユーザー認証（スマートフォンの生体認証など）と合わせて、パスワード レスが実現できる

    まとめ

24. 教材 https://gihyo.jp/book/2025/978-4 -297-14653-5