Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
パスワードレス認証 パスキーのすべて
Search
tockey
June 19, 2025
Technology
0
12
パスワードレス認証 パスキーのすべて
2025-6-19
ENECHANGE I/O Day アウトプット大会(社内イベント)
tockey
June 19, 2025
Tweet
Share
More Decks by tockey
See All by tockey
シングルサインオンを導入したら運用がこんなに楽になった!
tockey
0
150
コミット履歴キレイですか / clean up commit logs
tockey
0
5.6k
Other Decks in Technology
See All in Technology
整頓のジレンマとの戦い〜Tidy First?で振り返る事業とキャリアの歩み〜/Fighting the tidiness dilemma〜Business and Career Milestones Reflected on in Tidy First?〜
bitkey
2
15k
Tech-Verse 2025 Global CTO Session
lycorptech_jp
PRO
0
1.8k
CDKTFについてざっくり理解する!!~CloudFormationからCDKTFへ変換するツールも作ってみた~
masakiokuda
1
110
品質と速度の両立:生成AI時代の品質保証アプローチ
odasho
1
250
fukabori.fm 出張版: 売上高617億円と高稼働率を陰で支えた社内ツール開発のあれこれ話 / 20250704 Yoshimasa Iwase & Tomoo Morikawa
shift_evolve
PRO
2
7.2k
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
270
American airlines ®️ USA Contact Numbers: Complete 2025 Support Guide
airhelpsupport
0
370
生成AI時代 文字コードを学ぶ意義を見出せるか?
hrsued
1
820
第4回Snowflake 金融ユーザー会 Snowflake summit recap
tamaoki
1
270
LangChain Interrupt & LangChain Ambassadors meetingレポート
os1ma
2
300
Understanding_Thread_Tuning_for_Inference_Servers_of_Deep_Models.pdf
lycorptech_jp
PRO
0
180
Claude Code に プロジェクト管理やらせたみた
unson
6
3.5k
Featured
See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Navigating Team Friction
lara
187
15k
GitHub's CSS Performance
jonrohan
1031
460k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
The Cult of Friendly URLs
andyhume
79
6.5k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Embracing the Ebb and Flow
colly
86
4.7k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
Gamification - CAS2011
davidbonilla
81
5.4k
Transcript
パスワードレス認証 パスキーのすべて 2025-6-19 ENECHANGE I/O Day アウトプット大会(社内イベント)
ENECHANGE I/O Day とは ENECHANGEでは3ヶ月に一度の1日間、興味のある新しい技術などをインプットできる日を設ける 「I/O Day」を開催しています。本スライドはこの制度を活用し社内の発表に使用したものです。 過去開催や誕生経緯は弊社の開発者ブログに記事があるので興味があれば御覧ください。 https://tech.enechange.co.jp/entry/20240712_ioday https://tech.enechange.co.jp/entry/2024/10/15/114258
INDEX 世の中の動き 認証とは FIDO2 と パスキー まとめ 1. 2. 3.
4.
急増するフィッシングサイト https://www.fsa.go.jp/o rdinary/chuui/chuui_phis hing.html
多要素認証の必須化が進む証券会社 https://www.nikkei.com/article/DGX ZQOUB24D2X0U5A420C2000000/
多要素認証すれば安心???
OTPも万能ではない https://www.asahi.com/articles/ AST660CKPT66ULFA01VM.html
認証とは
認証って? サービスに登録済のユーザーであることをパスワード等によって認証して確認すること(当人認証) 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード(電話番号を使用する SMSなど)など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証
認証って? サービスに登録済のユーザーであることをパスワード等によって認証して確認すること(当人認証) 知識認証 所有認証 生体認証 NISTにおける認証の三要素 パスワードなど、特定の情報を知っていることを証明することによる認証 セキュリティキー、スマートフォン、SIMカード(電話番号を使用する SMSなど)など、所有を証明することによる認証 指紋、顔、虹彩など、人間の身体的特徴の一致を証明することによる認証
2つの要素を組み合わせて認証成功とする=二要素認証 2つ以上だと=多要素認証
セキュリティキー USBで接続して利用できる物理的なデバイス • 複製不可能な鍵を生成し公開鍵暗号方式を用いた電子署名 によって、デバイスの物理的な所有を証明できる • デバイス側に秘密鍵を保持し、認証したいサービス側で公 開鍵を保存する • セキュリティキーの物理ボタンなどを押すなどしてユー
ザー存在テストを行う https://www.yubico.com/yubikey/?lang=ja
セキュリティキーのフィッシング耐性 鍵ペア作成・登録時にドメインを指定し、認証時は同一のドメインでないと認証拒否される enechange.jpで作成された鍵 認証拒否
公開鍵暗号方式を用いた認証 認証を求めるクライアントが、認証先サーバーで作成されるチャレンジと呼ばれる任意データを受け 取って事前に取り決めた処理をして返す。(チャレンジレスポンス方式) 秘密鍵 チャレンジ 39(乱数) 39 を秘密鍵で暗号化 して返す 公開鍵で復号して
39 が手に入る = 秘密鍵の所有者で あることの証明 公開鍵
FIDO2 と パスキー
パスワードレス認証の仕様 FIDO FIDO FIDO2 FIDO U2F FIDO UAF WebAuthn CTAP2
セキュリティキーを二段 階認証の二つ目の認証 手段として扱うための仕 様 パスワードレス認証の 仕様 ブラウザでパスワードレ ス認証を扱うための仕 様 ブラウザが外部の認証 器と通信を行うための 仕様 JS APIがブラウザに実装されなかったため 全然普及しなかった ... 各種ブラウザで実装されたことで FIDO2に対応した認証がサービスに実装され始め ている
FIDO2(パスキー以前) 認証器 ブラウザ Webサービス 認証器とは、クレデンシャル(認証に使用する情報の総称)を生成したり格納したり、認証 したりすることのできるデバイスの総称。セキュリティキーやスマートフォンが該当。 コンピューターであれば、TPM(Trusted Platform Module)と呼ばれるマザボ上の特殊領域に 秘密鍵を保持する。
⇨ デバイス認証と呼ばれることがある CTAP2 WebAuthn
認証器としてのスマートフォン • Touch IDやFace IDをはじめとした生体認証がスマートフォンに当たり前に搭載される ようになったため、追加のデバイスなしに強力な認証要素を使うことができるように なった。 • スマートフォンの持ち主にしかできない「スクリーンロックを解除」できることを当人 認証機能として扱う。(ローカルユーザー検証)これはセキュリティキーにおけるユー
ザー存在テストと同等。 ⇨ 認証器の持ち主であることの検証が、容易に強力な手段でおこなえる
パスキーの登場 2021年 Appleが「PassKey」を発表し、FIDOアライアンスからGoogle, Apple, Microsoftが協調 してPasskeyに対応していくことを表明。 技術的にはデバイス認証の延長にあたり、デバイス認証の特徴を踏襲したうえで以下の特徴が 追加される。 • ディスカバラブルクレデンシャルである
◦ ⇨ 利用可能な鍵情報をサービスが発見可能であること • パスキープロバイダー(パスワードマネージャー)に保存され、同期されること ◦ ⇨ 異なるデバイス間で同一のパスキーを利用できる
Windowsのみ対応。 Windows機であってもデバイスを跨い で同期はできない。 パスキープロバイダー Google パスワードマネージャー iCloud キーチェーン Windows Hello
3rd party macOS, Windows, Android, Linux, CheomeOS, iOS などOSを跨いで同期 可能。 macOS, iOS, iPadOS などで利用でき る。 Appleアカウントに紐付けられた iCloudを通じでデバイス間で同期され る。WindowdやAndoroidではiCloud キーチェーン自体にアクセスできない 3rd partyごとに異なるが、 複数OSが前提となっているものが多 い印象。
パスキーによるログインフロー ニンテンドーストアでの例① 1Password自体のパスワードを入力 (ローカルユーザー検証)
パスキーによるログインフロー ニンテンドーストアでの例② 利用可能なパスキーを表示 (ディスカバラブルクレデンシャル)
パスキーによるログインフロー ニンテンドーストアでの例③
• パスキーは ◦ パスワードマネージャーによって同期され、複数のデバイス間で認証ができる ◦ 登録時のドメインでのみ認証が可能であり、ブラウザが判定してくれるためフィッ シング耐性が非常に高い ◦ ローカルユーザー認証(スマートフォンの生体認証など)と合わせて、パスワード レスが実現できる
まとめ
教材 https://gihyo.jp/book/2025/978-4 -297-14653-5
tockey
bitkey
lycorptech_jp
masakiokuda
odasho
shift_evolve
yhana
airhelpsupport
hrsued
tamaoki
os1ma
unson
kevinliebholz
smashingmag
lara
jonrohan
caitiem20
morganepeng
andyhume
garrettdimon
lauravandoore
colly
jnunemaker
davidbonilla
