認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
builderscon tokyo 2019にて WebAuthn について話しました - r-weblife
お疲れ様です、ritouです。 今年も話してきました。 builderscon.io #builderscon このあと14:30~ 発表します。 「WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~」https://t.co/PhlsRt1YO2— 👹秋田の猫🐱 (@ritou) August 30, 2019 資料を作っている時、こんなにスクショとって何がわかるんだ?スクショでUXを語れんの?と思いながら用意していました。 前半は振り返りをしつつWebAuthnのパラメータなど細けぇ話をダイアログのスクショと絡めて説明しました。 後半は各サービスの実装の特徴的な部分を整理し、自分のサービスで取り入れる場合に気をつけることが意識できるようにまとめました。 その結果、合計100ページ超えになりましたが、完全な時間管理を実践して50分ちょうどぐらいに発表が終
GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife
どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watch.impress.co.jp 将来的には“Windows Hello”や“Touch ID”などもサポートされるという。 Windows HelloやmacOSのChromeなどを用いたTouch IDが利用可能になるのは、将来の話ではありません。もう対応しています。 www.publickey1.jp この記事はパスワードレスを実現したかのような書きっぷり。 WebAuthnはパスワードレスを実現するための仕組みだが、今回のGitHubの対応は用途を2要素目の認証方法に限
OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する - r-weblife
おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 👹秋田の猫🐱 (@ritou) July 6, 2019 OAuth 2.0で言うところのClientの視点から、ここに気をつけて実装しましょうという話ではありません。 OAuth 2.0で言うところのServerの視点からみて、Clientにこんな実装されたらたまんねぇなっていうお話です。 最終的には一緒な気もしますが、とりあえず始めます。 state OAuth DanceにおけるCSRF対策としての state パラメータについて簡単に整理します。 Clientがセッションに一意に紐づく値として生成、管理 ClientがA
SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは - r-weblife
おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to be adopted by the OAuth working group soon. まだDraft中のDraftな状態ですが、まいくたんの推し感が出ているのでざっと見ておきましょう。 OAuth2.0 DPoPとは? tools.ietf.org This document describes a mechanism
DroidKaigi 2019 にて WebAuthn のお話をしてきました - r-weblife
こんばんは、ritouです。 こちらでお話してきました。 droidkaigi.jp 資料は話す前に上げました。 このあと話します! Chrome + WebAuthn で実現できるパスワードレスなユーザー認証体験と開発者の課題 Room 6 - 2019/02/07 17:10-17:40 https://t.co/EBu7G9XBPM #DroidKaigi #room6— 👹秋田の猫🐱 (@ritou) February 7, 2019 動画もあるみたいです(貼り方が控えめ)。スタッフさん仕事早いですね。 DroidKaigi 2019 - Chrome +WebAuthn で実現できるパスワードレスなユーザー認証体験と開発者の課題 / ritou [JA] - YouTube 去年の夏にも WebAuthn の紹介っぽい話を別のところでしたんですが、今回はUX的にも実感しやすい
OAuth 2.0 の Implicit grant 終了のお知らせ - r-weblife
おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しないことを推奨している バンコクで開かれた今週のIETF meetingで決定された ということらしいです。 Implicit grantといえば Token Replace Attack や Covert Redirect など、OAuth 2.0の脆弱性を語る上で欠かせない唯一無二の存在であります。 www.atmarkit.co.jp 私の中では最初から非推奨ですが、公式にとなると気になりますね。 策定中のドキュメントではどう
builderscon tokyo 2018 でパスワードレスについて話しました & idcon に行こう - r-weblife
(ふと描き忘れたなというところを追記してます) どこで何を話したのか builderscon tokyo 2018 にてお話しして来ました。 builderscon.io 資料もアップロード済みです。 builderscon tokyo 2018 のスライド公開しました。 "パスワードレスなユーザー認証時代を迎えるためにサービス開発者がしなければならないこと" https://t.co/5NaikVcyBi #builderscon #buildersconC— 👹秋田の猫🐱 (@ritou) September 7, 2018 内容は以下について緩く話して来ました。 パスワード認証 : そもそも人類には無理そう あるある実装 : パスワード認証 + リカバリー、最近多要素認証。ソーシャルログインはパスワードとセットになってる。 WebAuthn : 細かい生体認証とかを頑張るのは A
OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
こんばんは、ritouです。 久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OAuth 2.0 Authorization Framework JSON Web Signature (JWS) 想定する環境 わりとよくある環境を想定しています。 OAuth 2.0で認可サーバーとリソースサーバーがある 認可サーバーがAccess Tokenを発行 リソースサーバーがAPIリクエストに含まれるAccess Tokenを検証する よくある実装とその悩みどころを、JSON Web Token(JSON Web Signature)により軽減できるかもという話です。 よくある実装 : Access Tokenに一見ラ
RFCになったOAuth 2.0を使ってGoogleはどれだけパスワード入力を減らせるのか - r-weblife
※ 2012/10/17 少し文章を修正しています。 こんばんは、ritouです。 OAuth 2.0(とBearer Tokenの使い方)がRFCになりました。 RFC 6749 - The OAuth 2.0 Authorization Framework RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage 最新仕様に合わせてAPIを提供しているサービスはついに「OAuth 2.0の最新仕様(Draft 31)」じゃなくて「RFCで定義されているOAuth 2.0の仕様」とか言えるわけですね。 せっかくなので何か書こうと思ったところで9月末ぐらいに流れていたGoogleの話を思い出しました。 先月出されてたブログエントリ : Google Developers Blog: Adding OAuth 2
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
