Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
パスワードレス認証 パスキーのすべて
Search
tockey
June 19, 2025
Technology
0
9
パスワードレス認証 パスキーのすべて
2025-6-19
ENECHANGE I/O Day アウトプット大会(社内イベント)
tockey
June 19, 2025
Tweet
Share
More Decks by tockey
See All by tockey
シングルサインオンを導入したら運用がこんなに楽になった!
tockey
0
140
コミット履歴キレイですか / clean up commit logs
tockey
0
5.6k
Other Decks in Technology
See All in Technology
mrubyと micro-ROSが繋ぐロボットの世界
kishima
2
340
Welcome to the LLM Club
koic
0
190
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
shigeruoda
4
550
M3 Expressiveの思想に迫る
chnotchy
0
110
Prox Industries株式会社 会社紹介資料
proxindustries
0
320
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
kondoyuko
4
470
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
15
5.3k
Javaで作る RAGを活用した Q&Aアプリケーション
recruitengineers
PRO
1
120
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
yuyatakeyama
3
1.3k
Oracle Audit Vault and Database Firewall 20 概要
oracle4engineer
PRO
3
1.7k
20250625 Snowflake Summit 2025活用事例 レポート / Nowcast Snowflake Summit 2025 Case Study Report
kkuv
1
310
BigQuery Remote FunctionでLooker Studioをインタラクティブ化
cuebic9bic
3
320
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
524
40k
Documentation Writing (for coders)
carmenintech
72
4.9k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
670
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
Git: the NoSQL Database
bkeepers
PRO
430
65k
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
The Invisible Side of Design
smashingmag
300
51k
Music & Morning Musume
bryan
46
6.6k
Visualization
eitanlees
146
16k
Facilitating Awesome Meetings
lara
54
6.4k
Designing Experiences People Love
moore
142
24k
Transcript
パスワードレス認証 パスキーのすべて 2025-6-19 ENECHANGE I/O Day アウトプット大会(社内イベント)
ENECHANGE I/O Day とは ENECHANGEでは3ヶ月に一度の1日間、興味のある新しい技術などをインプットできる日を設ける 「I/O Day」を開催しています。本スライドはこの制度を活用し社内の発表に使用したものです。 過去開催や誕生経緯は弊社の開発者ブログに記事があるので興味があれば御覧ください。 https://tech.enechange.co.jp/entry/20240712_ioday https://tech.enechange.co.jp/entry/2024/10/15/114258
INDEX 世の中の動き 認証とは FIDO2 と パスキー まとめ 1. 2. 3.
4.
急増するフィッシングサイト https://www.fsa.go.jp/o rdinary/chuui/chuui_phis hing.html
多要素認証の必須化が進む証券会社 https://www.nikkei.com/article/DGX ZQOUB24D2X0U5A420C2000000/
多要素認証すれば安心???
OTPも万能ではない https://www.asahi.com/articles/ AST660CKPT66ULFA01VM.html
認証とは
認証って? サービスに登録済のユーザーであることをパスワード等によって認証して確認すること(当人認証) 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード(電話番号を使用する SMSなど)など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証
認証って? サービスに登録済のユーザーであることをパスワード等によって認証して確認すること(当人認証) 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード(電話番号を使用する SMSなど)など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証
2つの要素を組み合わせて認証成功とする=二要素認証 2つ以上だと=多要素認証
セキュリティキー USBで接続して利用できる物理的なデバイス • 複製不可能な鍵を生成し公開鍵暗号方式を用いた電子署名 によって、デバイスの物理的な所有を証明できる • デバイス側に秘密鍵を保持し、認証したいサービス側で公 開鍵を保存する • セキュリティキーの物理ボタンなどを押すなどしてユー
ザー存在テストを行う https://www.yubico.com/yubikey/?lang=ja
セキュリティキーのフィッシング耐性 鍵ペア作成・登録時にドメインを指定し、認証時は同一のドメインでないと認証拒否される enechange.jpで作成された鍵 認証拒否
公開鍵暗号方式を用いた認証 認証を求めるクライアントが、認証先サーバーで作成されるチャレンジと呼ばれる任意データを受け 取って事前に取り決めた処理をして返す。(チャレンジレスポンス方式) 秘密鍵 チャレンジ 39(乱数) 39 を秘密鍵で暗号化 して返す 公開鍵で復号して
39 が手に入る = 秘密鍵の所有者で あることの証明 公開鍵
FIDO2 と パスキー
パスワードレス認証の仕様 FIDO FIDO FIDO2 FIDO U2F FIDO UAF WebAuthn CTAP2
セキュリティキーを二段 階認証の二つ目の認証 手段として扱うための仕 様 パスワードレス認証の 仕様 ブラウザでパスワードレ ス認証を扱うための仕 様 ブラウザが外部の認証 器と通信を行うための 仕様 JS APIがブラウザに実装されなかったため 全然普及しなかった ... 各種ブラウザで実装されたことで FIDO2に対応した認証がサービスに実装され始め ている
FIDO2(パスキー以前) 認証器 ブラウザ Webサービス 認証器とは、クレデンシャル(認証に使用する情報の総称)を生成したり格納したり、認証 したりすることのできるデバイスの総称。セキュリティキーやスマートフォンが該当。 コンピューターであれば、TPM(Trusted Platform Module)と呼ばれるマザボ上の特殊領域に 秘密鍵を保持する。
⇨ デバイス認証と呼ばれることがある CTAP2 WebAuthn
認証器としてのスマートフォン • Touch IDやFace IDをはじめとした生体認証がスマートフォンに当たり前に搭載される ようになったため、追加のデバイスなしに強力な認証要素を使うことができるように なった。 • スマートフォンの持ち主にしかできない「スクリーンロックを解除」できることを当人 認証機能として扱う。(ローカルユーザー検証)これはセキュリティキーにおけるユー
ザー存在テストと同等。 ⇨ 認証器の持ち主であることの検証が、容易に強力な手段でおこなえる
パスキーの登場 2021年 Appleが「PassKey」を発表し、FIDOアライアンスからGoogle, Apple, Microsoftが協調 してPasskeyに対応していくことを表明。 技術的にはデバイス認証の延長にあたり、デバイス認証の特徴を踏襲したうえで以下の特徴が 追加される。 • ディスカバラブルクレデンシャルである
◦ ⇨ 利用可能な鍵情報をサービスが発見可能であること • パスキープロバイダー(パスワードマネージャー)に保存され、同期されること ◦ ⇨ 異なるデバイス間で同一のパスキーを利用できる
Windowsのみ対応。 Windows機であってもデバイスを跨い で同期はできない。 パスキープロバイダー Google パスワードマネージャー iCloud キーチェーン Windows Hello
3rd party macOS, Windows, Android, Linux, CheomeOS, iOS などOSを跨いで同期 可能。 macOS, iOS, iPadOS などで利用でき る。 Appleアカウントに紐付けられた iCloudを通じでデバイス間で同期され る。WindowdやAndoroidではiCloud キーチェーン自体にアクセスできない 3rd partyごとに異なるが、 複数OSが前提となっているものが多 い印象。
パスキーによるログインフロー ニンテンドーストアでの例① 1Password自体のパスワードを入力 (ローカルユーザー検証)
パスキーによるログインフロー ニンテンドーストアでの例② 利用可能なパスキーを表示 (ディスカバラブルクレデンシャル)
パスキーによるログインフロー ニンテンドーストアでの例③
• パスキーは ◦ パスワードマネージャーによって同期され、複数のデバイス間で認証ができる ◦ 登録時のドメインでのみ認証が可能であり、ブラウザが判定してくれるためフィッ シング耐性が非常に高い ◦ ローカルユーザー認証(スマートフォンの生体認証など)と合わせて、パスワード レスが実現できる
まとめ
教材 https://gihyo.jp/book/2025/978-4 -297-14653-5