おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
FIDO認証できるユーザーをスキャンさせない設計を考える
ritouです。 背景 これまで数年に渡り、「新規登録/ログイン時に登録状態がわかるレスポンスを返してくれるな。」というお話をしてきました。 SMSやEmailを入力して認証コードなどを送るタイプのログイン方法でも同様の実装は可能であり、表向きは「認証コードを送信したよ。受け取った値を入れてくれよな。」としつつ実際は既に登録済みだからログインからこい、未登録だから新規登録から来い見たいな内容を送りつつ、画面では正規のユーザーと同様のトークンなりを送り検証が絶対通らん! みたいなのを実装したりしています。 ではこれをWebAuthnなりネイティブ機能で提供されるFIDO認証でこれを実現したいとなった時にどうしたら良いか、細かく考えたらやっぱりめんどいなって話をします。 想定する環境 パスワード認証と組み合わせる2FA用途ではなく、FIDO認証のみでログインさせる 最初にユーザー識別を行うかど
GitHub - bulwarkid/virtual-fido: A Virtual FIDO2 USB Device
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Passkeyに対応するAndroid用の新パスワードマネージャ「Credential Manager」α版をGoogleがリリース。デバイス間でクレデンシャル同期可能に
Passkeyに対応するAndroid用の新パスワードマネージャ「Credential Manager」α版をGoogleがリリース。デバイス間でクレデンシャル同期可能に GoogleはPasskeyに対応するAndroid用の新しいパスワードマネージャ機能「Credential Manager」のアルファ版を開発者向けにリリースしたと発表しました。 We are excited to announce the alpha release of Credential Manager, a new #Jetpack API that allows devs to simplify their users' authentication journey, while also increasing security with support of passkeys. Read more in
Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness
Assuming you are using a hardware device with a compatible configuration, you might be wondering what is happening behind the scenes. The elevator pitchThe short version is that your device has an embedded secure module containing a unique secret sealed by your manufacturer. The security module is capable of proving it owns such a secret without revealing it. Cloudflare asks you for proof and chec
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
idcon29のY!Jの事例からログインフローにおけるWebAuthn対応の課題を考えた - r-weblife
ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォのようにパスワード認証/FederationがあるところにWebAuthnを追加する場合にどうすべきか、みたいなのは別途どこかで整理したい気がしています。 推測 Platform Authenticator だけはなく YubikeyとかのRoaming Authenticatorに対応してる場合、リセットした場合も同じことが起こりそう。 そもそもFIDOはブラウザ - 認証器と多段の処理になっているのでブラウザレイヤーでの完全なコントロールってのも難しそう。 例えば、Andr
Are Passkeys really the beginning of the end of passwords? I certainly hope not!
Are Passkeys really the beginning of the end of passwords? I certainly hope not! Published on 2023-11-09. As of late, Passkeys are promoted as the killer of passwords and a lot of companies are now manically transitioning from passwords to Passkeys. I don't think that is a good idea. For decades now, security experts have emphasized the importance of creating strong and unique passwords yet to no
ヤフーにおける WebAuthn と Passkey の UX の紹介と考察 #idcon #fidcon | ドクセル
スライド概要 「ヤフーにおける WebAuthn と Passkey の UX の紹介と考察」 idcon vol.29 で発表した資料です。 ヤフーの WebAuthn に関連する UX と Passkeys の登場によって変化した部分について紹介します。 https://idcon.connpass.com/event/258685/
Meet Face ID and Touch ID for the web - WWDC20 - Videos - Apple Developer
Face ID and Touch ID provide a frictionless experience when logging in — and now you can use them on your websites in Safari with the Web Authentication API. Discover how to add this convenient and secure login alternative to your website. Resources Have a question? Ask with tag wwdc20-10670 Safari Release Notes Search the forums for tag wwdc20-10670 WebKit Open Source Project HD Video SD Video He
おはようございます ritouです。 前の投稿でも取り上げたWebAuthnとかFIDO認証って呼ばれてる認証方式のお話です。 ritou.hatenablog.com 今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 fidoalliance.org FIDO UX Guidelines - FIDO Alliance UX GUIDELINE PDF - FIDO Alliance 一言で言うと MacとかiOSとかAndroidとかWindowsの生体認証が使えるデバイス上でWebアプリを使ってるユーザーに対して、新規登録/ログインフローのなかでをどうやってデバイスを登録させてFIDO認証を使わせるか っていうお話です。 今回のターゲットとしては一般的なユーザーが使いつつ、強固なセキュリティが求められる銀行のWebアプリケーションのようなところを想定してい
フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか? この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか? 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか?既にMFA(Multi Factor Authentication:多要素認証)を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl
builderscon tokyo 2019にて WebAuthn について話しました - r-weblife
お疲れ様です、ritouです。 今年も話してきました。 builderscon.io #builderscon このあと14:30~ 発表します。 「WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~」https://t.co/PhlsRt1YO2— 👹秋田の猫🐱 (@ritou) August 30, 2019 資料を作っている時、こんなにスクショとって何がわかるんだ?スクショでUXを語れんの?と思いながら用意していました。 前半は振り返りをしつつWebAuthnのパラメータなど細けぇ話をダイアログのスクショと絡めて説明しました。 後半は各サービスの実装の特徴的な部分を整理し、自分のサービスで取り入れる場合に気をつけることが意識できるようにまとめました。 その結果、合計100ページ超えになりましたが、完全な時間管理を実践して50分ちょうどぐらいに発表が終
iOS14 Public Beta4と共にSafariがアップデートされ、SafariのWebAuthnサポートでTouch ID/Face IDを利用した時にAttestationを返却するようになりました。AppleはPlatform Authenticatorが返却するAttestationとして、独自のApple Anonymous Attestation Statementを新たに定めており、その内容を紐解いてみたので共有です。 Auth0 WebAuthn Debuggerでの調査新しいAuthenticatorやClient Platformが出てきた時、その動作を検証する最も簡単な方法は、Auth0の提供するWebAuthn Debuggerというツールを使うことです。WebAuthnのAPIを呼び出すパラメータを自由に調整するGUIと、WebAuthnのAPIのレスポンス
フィッシング耐性の高いMFA実装の解説 | ドクセル
CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開 フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説 MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida
Apple、WebAuthnベースのキーマテリアルをiCloudに保存し同期/認証に利用する「Passkeys in iCloud Keychain」のTechnology Previewを公開。
AppleがWebAuthnベースのキーマテリアルをiCloudに保存しログイン認証に利用する「Passkeys in iCloud Keychain」のTechnology Previewを公開しています。詳細は以下から。 Appleは日本時間2021年06月08日より完全オンラインでWWDC21を開催していますが、元Duo Securityのエンジニアで現在はAppleのConsulting Engineering Teamで働くPepijn Bruienneさんによると、Appleは新しい認証情報保存機能「Passkeys in iCloud Keychain」のTechnology Previewを新たに公開するそうです。 2. Passkeys in iCloud Keychain – Store WebAuthn-based key material in iCloud mak
GitHub - teamhanko/hanko: Customer Identity and Access Management for the passkey era
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
WebAuthnのやさしい解説!安全にパスワードレス認証ができる仕組みとは? | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]
WebWebAuthnFIDOFIDO2認証YubiKeyCTAP紹介 こんにちは!内定者アルバイトとして技術戦略部で働いている平尾です! オンライン上のサービスを利用する時、皆さんはどの様に自分のアカウントにログインしていますか? 恐らく多くの場合、IDとパスワードでログインしていることが多いのではないかと思います。 パスワードの流出による個人情報の漏洩などの被害は後を絶ちません。 今回紹介するWebAuthn(Web Authentication API) は、Web上でのより安全な認証可能にしてくれます。 この記事では、WebAuthnの概要を解説していきます。 WebAuthnとは WebAuthnを知るためにはまずFIDO(Fast IDentity Online) について知っておく必要があります。 FIDOというのは、パスワードの認証よりも安全で高速な認証を可能にする仕様のこ
![WebAuthnのやさしい解説!安全にパスワードレス認証ができる仕組みとは? | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a90ceb611d8babcae1ac009e31f89c2b0e722179/height=288;version=1;width=512/https%3A%2F%2Ftechblog.raccoon.ne.jp%2Fwp-content%2Fuploads%2F2020%2F07%2Fs_Mobile_Payments_with_Biometric_ID_System.jpg)
リアルタイム/中継型フィッシングの脅威と人類が取れる対策
ritouです。 絶望 パスワードリスト攻撃への対策として様々なサービスが2要素(段階)認証を導入しているものの、今度はリアルタイム、中継型などと呼ばれるフィッシングにやられるケースが見受けられます。 よく2段階認証で使われている Google Authenticatorのようなアプリで設定したTOTP SMSで送られて来るなんたらコード 机の引き出しにしまっとけって言われるリカバリーコード あたりはこのフィッシング攻撃にやられます。 この辺りが解説されているわかりやすそうなドキュメントもあります。 君達の資格情報は全ていただいた! | Japan Azure Identity Support Blog WebAuthnなどのFIDOなら大丈夫とありますが、ちょうど今日ブログに書いた "手元のスマホ(で動いてるアプリ)でログイン" の場合はその中でFIDOを使っててもやられます。 2段階/
Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2020 - Qiita
2020年になりすっかりなりを潜めていますが、DigitalIdentityに関する技術の勉強会である #iddance のアドカレやります。 参加条件は自由です。いわゆる認証認可と関連する技術、OAuth、OpenID Connect、FIDO、WebAuthn、DID、SSI、eyJ(JWT)、そしてSAMLとかに興味のある人、一緒に何か書きましょう!プロトコルや仕様に縛られずいろいろな話題が集まることを期待しています。 「書いてみたいけどお前やあの人の突っ込みが怖いんだわ」って時は事前のレビューもできますのでTwitterなどでご相談ください。 申し込んだけど穴空きそう!助けて!ってときもritouがなんとかしますので安心して参加してみてください。
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは!! Yahoo! JAPAN研究所の山口修司です。 突然ですが、生体認証は好きですか? 最近はスマホで生体認証が利用できるようになったので生体認証を使うシーンが増えていると思います。私は、使い勝手的に(以後ユーザビリティと書きます)、パスワードを覚えたり入力したりしたくないので、生体認証が選べるなら積極的に使っています。 Yahoo! JAPANでは、2018年にセキュリティとユーザビリティの両立を目指して、Yahoo! JAPAN IDに生体認証を導入しました。 ヤフー、Androidスマートフォンのウェブブラウザー上でのログインが指紋認証などの生体認証に対応 Webサイトの生体認証の仕組みには、認証に関するグローバ
学習用にWebAuthnのAPIを叩いたりレスポンスを眺めるためのページを作った | DevelopersIO
最近 WebAuthn の仕様を眺めているのですが、いまいち理解できないときは実際に API を叩いて挙動を確認していました。 API を叩くだけならこちらのページのサンプルを叩くだけで叩けるのですが、レスポンスについては attestationObject が CBOR でエンコードされてたり、Authenticator Data はパースしないとなんだかわからなかったりして割と確認がめんどくさいところがあります。 なのでパラメータを指定してAPIを叩くとレスポンスをパースして表示するページを作りました。 WebAuthn Viewer 利用イメージ navigator.credentials.create() もしくは navigator.credentials.get() を選択してリクエストのパラメーターを入力します。 ボタンを押すとそれぞれの API が呼ばれます。 レスポンスは
2019年6月7日、サイボウズ東京オフィスにて「OSSセキュリティ技術の会」による第5回勉強会「KeycloakとWebAuthnのツインシュートの巻」が開催された。1年前の第3回勉強会に続きKeycloakを主なテーマとして取り上げつつも、最新の認証規格である「WebAuthn」も取り混ぜて開催。80名ほどが参加し関心の高さをうかがわせた。 この分野は日本のコミュニティで活発に開発が行われており、3つのセッションにて、まさに最前線の報告が行われた。 ※OSSセキュリティ技術の会の詳細についてはコチラを参照。 WebAuthnの国産OSSライブラリ 「WebAuthn4J」 1つ目のセッションでは、「WebAuthn4J」の主要開発者の能島良和氏が登壇し、WebAuthn4Jを紹介した。 能島氏は、Twitterで@shiroicaのアカウント名で活動している。WebAuthn4JとはWe
Cloudflare Workers で Passkey autofill できる WebAuthn RP を自作してみる
はじめに この記事は、Cloudflare Workers を使って CDN エッジ上で動作し、WebAuthn のみをサポートする ミニ IdP を作成してみたという話です。ソースコードは https://github.com/atpons/idp にあります。 実装する フロントエンド / バックエンド honojs/hono などの Cloudflare Workers に特化したフレームワークなどもありますが、今回は Hono ではなく、よりフルスタックなフレームワークとして Remix を採用しました。 フロントエンドとバックエンドについては Remix で実装することにします。なんとコンポーネントを書いたのはログイン画面だけです。 WebAuthn WebAuthn の RP を実装する際はまず https://github.com/herrjemand/awesome-web
公開情報から読むCloud-assisted BLE(caBLE)をつかったWebAuthn OpenID Summit Tokyo 2020 の公募セッションでしゃべらせていただいた内容です。 実際の実装へのリンクなど貼ってあるのでリンク集としてお使いいただければ……。 https://www.openid.or.jp/summit/2020/ ちなみに今使えるものではなく、未来の話です。 リンクがリンクになってなかったので以下に書きます。 * WebAuthnのGitHubライブラリへのプルリク https://github.com/w3c/webauthn/pull/909 * 差分プレビュー https://pr-preview.s3.amazonaws.com/w3c/webauthn/909/5d11e62...kpaulh:63be77d.html#sctn-cable-re
We’ve joined the FIDO Alliance to build a better future for authentication | 1Password
I’m happy to announce that 1Password has joined the FIDO Alliance to help build safer, simpler, and faster login solutions for everyone. In fact, we’re already on our way … keep reading for a sneak peek at the future of authentication in 1Password. Passwordless: we’re ready when you are When it comes to online security, people are often at their most vulnerable when logging in to accounts. That’s
これらのオプションについて詳しく調べるには、 WebAuthnの公式仕様をご覧ください。 サーバーから返ってくるオプションの例を下記に示します。 { "rp": { "name": "WebAuthn Codelab", "id": "webauthn-codelab.glitch.me" }, "user": { "displayName": "User Name", "id": "...", "name": "test" }, "challenge": "...", "pubKeyCredParams": [ { "type": "public-key", "alg": -7 }, { "type": "public-key", "alg": -257 } ], "timeout": 1800000, "attestation": "none", "excludeCredentials
みなさん、こんにちは。 NRIデジタルの工藤です。 私たちは、CoE活動として、新技術の探索・調査を行っています。 今回は次世代の認証技術として注目されている「WebAuthn」について前後編でご紹介します。 本記事ではWebAuthnの概要、WebAuthnを実現するための構成要素、実装シーケンスについてご紹介します。後半記事ではWebAuthnが抱える問題点とその解決策としてのPassKeyについてご紹介します。 WebAuthnとは WebAuthnの仕組み WebAuthnを実現するためには 認証器のWebAuthn対応状況 ブラウザのWebAuthn対応状況 WebAuthn 認証サーバを実現のために利用可能なOSS WebAuthnのシーケンス 登録 リクエスト情報 レスポンス情報 Attestation 認証 リクエスト情報 レスポンス情報 Assertion まとめ Web
Secure Payment Confirmation | Payments | Chrome for Developers
Secure Payment Confirmation (SPC) is a proposed web standard that allows customers to authenticate with a credit card issuer, bank, or other payment service provider using a platform authenticator: Unlock feature including Touch ID on a macOS device Windows Hello on a Windows device With SPC, merchants can allow customers to quickly and seamlessly authenticate their purchases, while issuing banks
GitHub について パスキーとセキュリティキーの両方があるが、同じキーを両方に登録することはできない。 セキュリティキーとして登録した既存のキーはパスキーに移動できるが、逆はできない。 パスワード入力の代わりとしてパスキー認証を使用できる。 Microsoft について Windows PC でなくとも「Windows PC の使用」から生体認証を登録可能 「セキュリティキー認証」にはQRコードの読み取りによる認証も含んでいる なぜか Safari では生体認証やセキュリティキーが使用できない どうやらユーザーエージェントによって対応の可否を決めているようで、 Firefox や Chromium にUAを偽装すれば登録/使用ができる。OSを Windows に偽装する必要はない。 上表で ▲ を付けたのはこれが理由。 最近は Microsoft Authenticator がデフォル
Move beyond passwords - WWDC21 - Videos - Apple Developer
Streaming is available in most browsers, and in the WWDC app. Despite their prevalence, passwords inherently come with challenges that make them poorly suited to securing someone's online accounts. Learn more about the challenges passwords pose to modern security and how to move beyond them. Explore the next frontier in account security with secure-by-design, public-key-based credentials that use
Webアプリケーションの認証からパスワードを無くす動きが加速している。2022年9月以降、米Apple(アップル)と米Google(グーグル)が、スマートフォンやパソコン向けのOSやWebブラウザーに「パスキー」と呼ばれる仕組みを相次いで採用。複数の端末からWebサイトにパスワードレスでログインできるようにした。パスキーはパスワードレス普及の切り札となる可能性がある。 「パスキーは2022年最大の成果だ」――。 パスワードレス認証の仕組みを検討する非営利団体であるFIDOアライアンスのエグゼクティブディレクター兼CMO(最高マーケティング責任者)であるアンドリュー・シキア氏は2022年12月9日、日本では3年ぶりの開催となったFIDOアライアンスの記者説明会でこう強調した。複数の端末からWebサイトなどにログインする操作がこれまでよりも安全かつ簡単になるという。 iPhoneやAndroi
WebAuthn の Attestation
WebAuthn の Attestationwatahani4 MinutesNovember 19, 2018 AttestationWebAuthn に関して、認証の世界で生きてこなかった私が最も取っつきづらかった概念である Attestation について改めてまとめておこうと思う。 たぶんあってると思うんだけど、なにせ認証の世界は難しい。 何か間違いや考え違いがあったら @watahani まで連絡をくれたらうれしい。 はじめにWebAuthn で利用される FIDO 認証は、シンプルにいえば単なる公開鍵を利用した認証だ。TLS なんかで利用されるアレ。あまり詳しくない人(ワイのことな)のために概要を書くと、ユーザーが持っている秘密鍵とサーバーに保存される公開鍵(キーペア)を利用して認証をする。サーバーからはチャレンジと呼ばれるランダムな文字列が送られ、ユーザーが持っている秘密鍵で
この記事は freee Developers Advent Calendar 2021 の5日目です。 こんばんは。Identity & Access Managementを担当している てらら(id:a_terarara) です。 先日 死霊館 を鑑賞しました。(ホラー注意) この作品は実話から作られたということですが、購入した中古戸建てでポルダーガイストに出くわしたり悪魔にとり憑かれたり中々ハードなお話で最後までハラハラさせてくれました。 その中で、全ての時計が3時7分に止まるという現象があったのをきっかけに今回のAdvent Calendarは丑三つ時にお送りしようと思った次第です。 なお、丑三つ時って3時のことやろって思ってたら実は2時〜2時半のことらしいです。 WebAuthnとの出会い 2021年10月時点の私はWebAuthnに触れたことが無く 「パスワードの代わりに公開鍵を
「パスキー」の採用が相次ぐ
Webアプリケーションの認証からパスワードを無くす動きが加速している。2022年9月以降、米アップルと米グーグルが、スマートフォンやパソコンのOSやWebブラウザーに「パスキー」と呼ばれる仕組みを相次いで採用。複数の端末からWebサイトにパスワードレスでログインできるようにした。パスキーはパスワードレス普及の切り札となる可能性がある。 有力ベンダーが続々対応 パスキーを採用する動きが国内外の有力ベンダーで盛んだ。2022年3月にFIDOアライアンス▼がパスキーを提案すると、アップル、グーグル、米マイクロソフトがOSへの搭載を表明。同年12月時点ではアップルが「iOS 16」と「macOS Ventura」に、グーグルもベータ版ながら「Android」に搭載した。マイクロソフトの「Windows」も近日中に対応する。 日本のベンダーも自社のネットサービスでの対応を進める。例えばヤフーが「Ya
<トピックス> ヌーラボは、指紋や顔などでサービスにログインできる「生体認証ログイン」の提供を2019年7月1日(月)より開始 「Backlog」などヌーラボが提供しているすべてのサービスにひとつのアカウントでログインできる「ヌーラボアカウント」へのログイン時に利用可能 ユーザーの利便性向上のみならず、パスワードレスによりパスワードの流出の危険がなくなるなど、セキュリティ面の安心も高まる チームの働くを楽しくするコラボレーションツール「Backlog」「Cacoo」「Typetalk」を運営する株式会社ヌーラボ(本社:福岡県福岡市、代表取締役:橋本正徳、以下 ヌーラボ)は、指紋や顔などでサービスにログインできる「生体認証ログイン」の提供を2019年7月1日(月)より開始しました。 ヌーラボが提供するサービスへのログインにパスワードが不要になることで、ユーザーの利便性が向上するうえ、パスワー
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
何をやったか 最近の仕事柄興味があったのと、WEB+DB PRESS Vol.114の特集2を読んだこともあって、理解を深めるためにWebAuthnでの公開鍵登録(今回はサインアップを兼ねる)、認証だけできる簡単なWebアプリを作りました。リポジトリのREADMEに様子のGIFアニメを貼っています*1。今回はChrome 80とTouch IDで試しています: GitHub - kymmt90/webauthn_app このボタンをクリックするとHerokuにデプロイできます。リポジトリのREADMEにも同じボタンを置いています: デプロイ後に環境変数 WEBAUTHN_ORIGIN に https://<Herokuアプリ名>.herokuapp.com を追加してください。 理解できた点 WebAuthn自体の詳しい説明は、Web上のリソースを参照したほうがよいので、今回はとくに書いて
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
![2024年版「基本的なウェブアプリケーションを構築する」のチュートリアル手順まとめてみた[Amplify Gen2対応] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/89d69da1ff63f03a6134b1ba08325495afbaf56e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2F000_basic_web_app.png)
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
webauthn_study_ritou.pdf
FIDOアライアンスのUXガイドラインには何が書いてあるか - r-weblife
MFA(多要素認証)でさえ突破されている~WebAuthnがおすすめな理由 #1~ | LAC WATCH
解剖 Apple Anonymous Attestation
指紋認証でWebに簡単ログイン ~Android版「Firefox 68」は“WebAuthn”をサポート/Windows 10では「Firefox 66」から“Windows Hello”のパスワードレス認証が体験可能
WebAuthnを用いたパスワードレス生体認証のユーザビリティ調査
注目のWebAuthnと公式より早いKeycloak最新動向を紹介!OSSセキュリティ技術の会 第5回勉強会
公開情報から読むCloud-assisted BLE(caBLE)をつかったWebAuthn
はじめての WebAuthn | Google for Developers
次世代の認証技術 WebAuthnを紹介【前編】 | TECH | NRI Digital
WebAuthn/Passkeyでの生体認証の対応状況 - Qiita
iOSやAndroidに相次ぎ搭載、「パスキー」はパスワードレス普及の切り札になるか
丑三つ時におくるWebAuthnの勘所 - freee Developers Hub
PerlでつくるフルスクラッチWebAuthn/パスキー認証 / Demonstration of full-scratch WebAuthn/Passkey Authentication written in Perl
ヌーラボ、指紋や顔などでサービスにログインできる「生体認証ログイン」提供を開始 | プレスリリース | 株式会社ヌーラボ(Nulab inc.)
パスキーの概要とKeycloakでの動作確認 - Qiita
WebAuthnによる認証機能を作りながら理解を深める - kymmt
gigazine.net
mainichi.jp
yutu168yu.hatenablog.com
minmin1111.hatenablog.com
www.youtube.com
monolith.law