タグ

ブックマーク / ritou.hatenablog.com (3)

  • とにかくまずはパスワードマネージャーを使おう。パスキーは目の前にある。というお話 - r-weblife

    ritou です。 大きなサービスで何か問題があると、それをきっかけに皆さんのセキュリティ意識が高まりかけたりするものです。 最近はパスワードマネージャーやパスキーについて言及する人も増えてきました。 表題の通り、パスワードマネージャーをお勧めしますという話を書きます。新しい話ではなく、いつもの内容です。 パスワード認証に求められる要件とは? パスワード認証自体は脆弱な認証方式ではありません。 ユーザー、サービス共に要件を満たして実装、運用されているならば至高の認証方式なのであります。その要件を見てみましょう。 ユーザー 推測不可能な文字列にする 複数のサービスで別のパスワードを利用する 忘れない 第3者にパスワードを知らせない サービス パスワードを安全に管理する 各種攻撃からユーザーを保護する これに対する現状を見てみましょう。 "記憶する" パスワード認証の課題 ユーザー側が記憶で上

    とにかくまずはパスワードマネージャーを使おう。パスキーは目の前にある。というお話 - r-weblife
    Wacky
    Wacky 2024/07/08
  • PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife

    ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブログに書きます。 今日の内容ですが、初めにパスキーの概要についてざっと触れます。 続いてWebアプリケーションにパスキーを導入するとなった場合にどこから手をつけるべきかというところに触れた後、一番の悩みどころになりそうなログインのUI/UXについて紹介します。 概要からいきましょう。 パスキーの紹介記事もたくさん出ているので要点だけまとめます。 パスキーとは「パスワードが不要な認証方式」であり、それを支える仕様はFIDOアライアンスとW3Cにより策

    PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife
    Wacky
    Wacky 2023/11/16
  • OAuth 2.0で最近提案された"Chain" Grant Typeについて調べた - r-weblife

    そういえば、GoogleAPIもついにOAuth 2.0(たぶんDraft 10相当)への対応が行われたとかで、だいぶ浸透してきた感があるOAuth 2.0ですが、まだ仕様はFixしていません。 というか、仕様がFixしてもその単体の仕様に全ての定義が含まれるということにはなりません。 Access Tokenの形式(Access Token Type)はOAuth 2.0体の仕様ではなく別の仕様になりますし、Access Tokenの取得方法であるGrant Typeについても拡張が許可されています。 今回は、新しいGrant Type仕様が提案されたというので調べてみました。 まずはブログエントリについて Independent Identity: OAuth: New Chain Grant Type "Chain"という、OAuth 2.0のgrant typeが提案されていま

    OAuth 2.0で最近提案された"Chain" Grant Typeについて調べた - r-weblife
  • 1