パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
ヨドバシカメラは現在、お客様との接点をドメインとして設計する新たなAPIを開発中であることを、クリエーションラインが主催し10月27日に開催されたイベント「Actionable Insights Day 2023」で明らかにしました。 REST APIとして実装される予定のこのAPIについて同社は「ヨドバシスタッフの魂を注入する」としており、厳重なセキュリティやユーザーフレンドリーで高い利便性などが追求されています。 ヨドバシAPIがどのように設計され、開発、実装されていくのか。その中味が紹介されたセッションの内容を見ていきましょう。 本記事は前編と後編の2本の記事で構成されています。いまお読みの記事は前編です。 疎結合なのに一体感、ヨドバシAPIがつなぐ社会 株式会社ヨドバシカメラ 代表取締役社長 藤沢和則氏。 ヨドバシカメラの藤沢と申します。本日はまずこの貴重な機会をいただきありがとう
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです シラバスver4.0 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリー
パスキーに入門してみた話 - Qiita
久しぶりの投稿です。 はじめに 昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。 まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。 パスキーとは? パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。 次世代認証技術であるFIDO(Fast IDentity Onlineの略で、「ファイド」と呼びます)を使った認証方式(詳細は後述)で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは? 脆弱なパスワードは安全ではありません。 2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
あけましておめでとうございます。株式会社ミツエーリンクスの中村直樹です。昨年と同じく、2023年のWebアクセシビリティに関連する出来事を振り返りつつ、2024年のWebアクセシビリティの展望について俯瞰していきたいと思います。 WCAG 2.2の勧告とWCAG 2.1の更新 長らく待ちわびていたWCAG 2.2について、2023年10月5日付けでようやくW3C勧告(Recommendation)となりました(日本語訳はまだありません。詳細は後述の「臨時WGの活動状況」を参照)。また、これと連動する形でWCAG 2.1(日本語訳)の勧告も改めて発行されました。 今回のWCAG 2.1の更新では、達成基準4.1.1構文解析に注記が設けられています。これにより、WCAG 2.2で削除された達成基準4.1.1の扱いについて連続性が保たれるようになっています。WCAG 2.1からの変更点は、公
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとして、あらゆるところを簡略化したシーケンスを用意しました。 ID連携、いわゆるソーシャルログインでは次のようになります。 登場人物をUserAgent、RP、IdPとするとこんな感じでしょう。 もちろん細かいところは違うわけですが、全体の流れは似ています。 WebAuthnのchallenge, OIDCのnonce, state 先ほどのシーケンス、たまたま似ていると言うよりも、これは認証フローにおける基本の流れであると意識しておきましょう。 パスキーやID連携の
ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブログに書きます。 今日の内容ですが、初めにパスキーの概要についてざっと触れます。 続いてWebアプリケーションにパスキーを導入するとなった場合にどこから手をつけるべきかというところに触れた後、一番の悩みどころになりそうなログインのUI/UXについて紹介します。 概要からいきましょう。 パスキーの紹介記事もたくさん出ているので要点だけまとめます。 パスキーとは「パスワードが不要な認証方式」であり、それを支える仕様はFIDOアライアンスとW3Cにより策
パスキーのユーザー ジャーニー | Authentication | Google for Developers
KAYAK がパスキーでログイン時間を 50% 短縮し、セキュリティを強化した方法 Yahoo!JAPAN、パスキーの導入率を 11% に増やし、SMS OTP の費用を削減 Dashlane でパスキーによるログインのコンバージョン率が 70% 上昇 メルカリのパスキー認証でログインが 3.9 倍高速化 Google アカウントのパスキーのユーザー エクスペリエンスを設計する パスキーとパスワードの比較で、これまでにない認証速度を実現 「Google でログイン」の SDK Android 用認証情報マネージャー ウェブで Google でログイン(ワンタップを含む) iOS と macOS 用の Google ログイン 業界基準 パスキー OpenID Connect 以前のログイン Android でのワンタップ登録/ログイン Android 向け Google ログイン ウェブ向け
書籍『パスキーのすすめ』でパスワードレスな認証の世界に飛び込んでみよう #技術書典 | DevelopersIO
数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。 そうこうしているうちに、最近では「パスキー」という新しいパスワードレス技術に関する言葉をよく目にするようになりました。 パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。 FIDOとWebAuthnとパスキーは何が違うの? もっとセキュアになったの? サイトによってUXが違うんだけど? このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された『パスキーのすすめ』です。 著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つrito
株式会社MIXI 開発本部 MIXI M事業部の ritou です。 DroidKaigi 2023にてお話しさせていただきました。 資料も公開しました。 今回も発表内容全部書き出してみたをやってみます。 同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。 それではどうぞ。 これからパスキーに関するユースケースと、それに伴うユーザーエクスペリエンスの課題について発表します。 株式会社MIXIでエンジニアとして働いています。 MIXI MというサービスでID基盤の開発に携わっており、8月にパスキー対応を行いました。 その経験も踏まえて、今日はお話をさせていただきます。 また、OpenIDファウンデーションジャパンでエバンジェリストをしています。 今日はID連携とパスキーの関係についてもお話します。 この発表を通して
Passkey の動向 2023年ふりかえり - Money Forward Developers Blog
はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。 この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
WebKit Features in Safari 17.0
Sep 18, 2023 by Jen Simmons and the Safari / WebKit Team Today’s the day for Safari 17.0. It’s now available for iOS 17 and iPadOS 17. [Update September 26th] And now, Safari 17.0 is available for macOS Ventura, and macOS Monterey, and macOS Sonoma. Safari 17.0 is also available in the vision OS Simulator, where you can test your website by downloading the latest beta of Xcode 15, which supports t
Are Passkeys really the beginning of the end of passwords? I certainly hope not!
Are Passkeys really the beginning of the end of passwords? I certainly hope not! Published on 2023-11-09. As of late, Passkeys are promoted as the killer of passwords and a lot of companies are now manically transitioning from passwords to Passkeys. I don't think that is a good idea. For decades now, security experts have emphasized the importance of creating strong and unique passwords yet to no
WebKit Features in Safari 17.4
ContentsArchitectural improvementsWeb AppsForm elementsCSSWeb APIJavaScriptMediaSVGWebGLWeb AssemblyWeb InspectorChanges to SafariSafari ExtensionsWeb AuthenticationBug Fixes and moreUpdating to Safari 17.4Feedback Just like Safari 15.4 and Safari 16.4, this March’s release of Safari 17.4 is a significant one for web developers. We’re proud to announce another 46 features and 146 bug fixes. You ca
はじめに www.youtube.com これは Digital Identity技術勉強会 #iddance Advent Calendar 2023 23日目の記事です。 今年も2021年の「JWTの発音問題について」みたいに逆張りクソ野郎ムーブをしようと思います。 タイトルはclickbaitです 私自身業務でWebAuthnのRPを実装しており、WebAuthn Level 2はだいたい読んでおり、実装過程で気づいた記述の不備の指摘を行ったりしています。よって当然WebAuthn/FIDO/Passkeysのメリットは理解しており、タイトルから想像されるような「Passkeysをやめろ」という主張を行うつもりはありません1。一方で、Passkeysの推進を行う言論で見落とされている点がかなりある(ひいては一部ポジショントークのために一部意識的に触れられていない)と感じたので、Pas
Firstyear's blog-a-log
At around 11pm last night my partner went to change our lounge room lights with our home light control system. When she tried to login, her account couldn't be accessed. Her Apple Keychain had deleted the Passkey she was using on that site. This is just the icing on a long trail of enshittification that has undermined Webauthn. I'm over it at this point, and I think it's time to pour one out for P
Passkeyを個人開発サービスに導入したお話
初めまして。都内でソフトウェアエンジニアをやってご飯を食べているWintuというものです。今回は私が開発してるライブ配信プラットフォーム「CASPUR」にPasskeyを導入した話をしていけたらと思っております。 今回はPasskeyのある程度の仕組みを理解して、実際に実装したいと思ってるエンジニアさんに少しでも参考になればと思い書いてます。なのでPasskeyなどの基礎知識とかの解説は省かせてもらいます 完成した認証フロー なるべくPasskeyを登録して欲しかったので、登録導線に組み込んで後のログインを楽にするよう設計しました。いろいろデザインが投げやりなところは個人開発なので許してください...😛 CASPURの現状 CASPURでは認証周りにFirebase Authenticationを利用し、バックエンドはMySQL + Express.js。フロントエンドにはVue.jsを
フィッシング耐性の高いMFA実装の解説 | ドクセル
CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開 フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説 MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida
Passkeys を完全に理解するために Rails で実装してみた with Remix - STORES Product Blog
この記事は STORES Advent Calendar 2023 22日目の記事です。 こんにちは STORES 予約開発チームでエンジニアリングマネージャーをしています Natsume です。 昨今 Passkeys が各サービスで導入されており、勢いを感じています。 個人では 1Password のパスワードマネージャーを使っており、1Password が Passkeys 対応してから試しています。 Passkeys でのログインは ID/PW/OTP の autofill などに比べて 1step 省略される程度ですが、ログイン体験が良いと思っており、導入されていたらどんどん切り替えています。 ほどんどのサービスでは ID/PW との併用となっているケースが多く、セキュリティ面でのメリットを享受できるのはまだ先になりそうです。 個人的に Passkeys の実際の挙動や導入する時
2024 年 6 月 14 日、Google 渋谷オフィスにて Chrome Tech Talk Night #16 〜 パスキー が開催されました。 CTTN #16 は、開発者のみなさんがパスキーの基本について学び、よくある疑問を解決できることを目指したイベントです。 FIDO Alliance メンバー企業でアクティブに仕様策定に参加しているエキスパートの皆様がご登壇されました。 資料はこちらに公開されています:Chrome Tech Talk Night #16 パスキー 以下はClaude Sonnet 3.5 によるまとめとNotta.ai によるまとめをもとに若干手を入れたものです。なお、私はこの分野は素人なので、間違いがあると思うので、その場合はご指摘いただければ幸いです。 Chromeテックトーク16 – パスキーについて #passkeys_jp 1. イントロダクショ
2023 年に学んで良かった技術や知識
雑に書いていきます。 バックグラウンド自分のスキルは以下の通り。専門はリアルタイムな通信プロトコルを利用した製品の設計と開発、マーケティング。 Erlang/OTPWebRTC細かいのはこちら。 PyPIhttps://pypi.org/ 自社製品の Python SDK をリリースにあたりかなり調べた。スゴイ大変だった … 。 WebAuthn / Passkeys自社サービスに使おうと思って調べて、実装したりもしてみたがコスパが見合わないのでどこかのサービスを使おうと考えてる。いつか自作したい。 Biomehttps://biomejs.dev/ フォーマッターとリンターの設定に疲れていたので、採用したところ最高だった。勢い余ってゴールドスポンサーにもなった。 pnpmhttps://pnpm.io/ npm 遅いし、使いづらいなと思っていたので覚えた。workspace も便利。pn
YAPC::Hiroshima2024に参加の皆様へノベルティなどのご案内 - KAYAC Engineers' Blog
カヤック技術部の谷脇です。 さて、2024年2月10日に広島でYAPC::Hiroshima2024が開催されます。カヤックはゴールドスポンサーと椅子スポンサーを行っています。 yapcjapan.org さてそんなカヤックですが、スポンサーノベルティとして今回のために作ったものがあるのでここで紹介させていただきます。 ステッカー御朱印帳 参加者の皆様にお配りするのはこちらです。 ステッカー御朱印帳です。ノートですが、広島にちなんだ柄にしております。また、御朱印帳なので右綴じです。 中身はこんな感じです。 この例のように、他のノベルティで配られるであろうステッカーなどを貼ってスクラップブック風にしてみたり、トークのメモにしてみてください。ちなみにこのステッカーは私が個人的に今回に合わせて作ったものです。こんな感じで会場では自分のシールを配っている人がいることがあります。またシールを持ってな
パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。 パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。パスキーの基礎解説と、企業で運用する際のポイントなどを解説する。 パスワードレスの認証手段、パスキーとは? パスキーは、FIDO Allianceが進めるFIDO標準の仕様に基づく、パスワードを利用しないアクセス方法として注目されている。特定のユーザーがWebサイトやアプリへサインインする際に、迅速かつ簡単に、安全にアクセスできる仕組みだ。業界標準のAPIとプロトコルに基づく公開鍵暗号を用いることで、面倒なログイン名とパスワー
ウェブブラウザ「Firefox 122」の正式版が公開されました。検索時のサジェスト候補に画像と説明が表示されるようになったほか、ウェブ開発関連の検索時にウェブ開発の情報がまとめてあるMDNをサジェストするようになりました。 Firefox 122.0, See All New Features, Updates and Fixes https://www.mozilla.org/en-US/firefox/122.0/releasenotes/ ◆検索候補の画像と説明が表示されるように 検索エンジンから提供されるサジェスト候補に画像と説明が付属していた場合にその画像と説明文が表示されるようになりました。 ◆翻訳機能の改善 Firefoxの翻訳機能はローカルで実行されており、インターネットに文章などのデータが送信されないためプライバシーを守りつつ翻訳を行えるという特徴があります。Firef
The last year has been a great one for WebKit. After unveiling Safari 17 beta at WWDC23, we’ve shipped six releases of Safari 17.x with a total of 200 new web technologies. And we’ve been hard at work on multiple architectural improvement projects that strengthen WebKit for the long-term. Now, we are pleased to announce WebKit for Safari 18 beta. It adds another 48 web platform features, as well a
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2024 年 5 月 2 日に米国の Microsoft Entra (Azure AD) Blog で公開された Public preview: Expanding passkey support in Microsoft Entra ID の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 パスワードというものを本気でこの世からなくしたいと思っています。パスワードという仕組みをこれ以上よくする方法というのは実質的にない のです。多要素認証 (MFA) を利用するユーザーが増えるにつれて、攻撃者は Adversary-in-the-Middle (AitM) フィッシングやソーシャル エンジニアリング攻撃をより多用しています。これらの攻撃は、ユーザーが意図せず認証情報を攻撃者
ついに広島で開催されたプログラミングの祭典YAPC 2024 Hiroshimaに参加し、さきほど帰宅したのでレポートです。2/19〜2/21までの各イベントに参加しました。いくつかのトピックに分けて、現場の熱量をなるだけ伝えようと思います。 ついにやってきた大規模カンファレンス ついに、と書いていますがYAPCは例年ある程度安定して開催されています。ではなぜこう書いたかというと、COVID-19によりプログラミングコミュニティのカンファレンスが熱量を失ってしまっていたことが理由です。 COVID-19の猛威は日本中に襲いかかり、ありとあらゆるイベントを中止に追いやってきたわけですが、プログラミングコミュニティの集会も例に漏れませんでした。YAPC::2020はCOVID-19の打撃を受けて延期してしまいました。他のコミュニティも、2020年当時に同じような苦渋の決断を行っていたことと思い
YAPC::HiroshimaとYAYAPC::HiroshimaでトークとLTをしました #yapcjapan #yayapc - たまめも(tech)
2024/02/10に行われたYAPC::Hiroshimaにて、 "エンジニアリングマネージャーのための「ぼうけんのしょ」" というタイトルでトークをしました。 マネジメントに携わる方々だけでなく、「チームでいいもの作って届けたい」と考える皆さんにとってのセーブポイント、あるいは旅のしおりとなるような内容を目指したつもりです。 speakerdeck.com 残念ながら2年連続のベストスピーカー賞…とはなりませんでしたが、既にたくさんの方にスライドを見ていただけているようです。嬉しい!FBもお待ちしています。 最初は「エンジニアリング組織論への招待」の内容も加えつつ、より経営に近い内容も盛り込もうとしていたのですが、20分枠だとさすがに難しく、現場を起点とした直接マネジメントに近い領域にフォーカスして構成しました。 自分の行動が次の誰かのきっかけになる、ということ 2024ベストスピーカ
セキュリティ企業のSilverfortは2024年5月6日(現地時間)、FIDO2の認証プロセスが中間者攻撃(MITM)によってバイパスされる可能性があると指摘した。 FIDO2の認証プロセスをバイパス 複数のツールでテストした結果とは? FIDO2はパスワードに代わって物理的または組み込みのキーを使用して認証を実施する技術だ。Fast Identity Online(FIDO)アライアンスによって策定されており、主に中間者攻撃やフィッシング、セッションハイジャック攻撃などからユーザーを保護する安全な方法として知られている。 FIDO2の認証フローは、WebAuthn API仕様とClient to Authenticator(CTAP)プロトコルで構成されている。プロセス全体はWebブラウザが管理するため、デバイスの登録と認証の2つのステップで利用できる。通信には公開鍵暗号を使うため、フ
こんにちは、サーバーサイドエンジニアの古川(@frkawa_)です。 10/27(金), 28(土)の2日間にかけて行われたKaigi on Rails 2023、お疲れ様でした。 私も現地で参加しましたが、多くの刺激を受けることができてとても有意義な2日間となりました。普段関わることの無い多くの方と交流できることが現地参加の何よりの魅力ですね。 弊社ではKaigi on Rails 2023のセッションレポートの記事も投稿しているので、是非一度ご覧ください。 tech.medpeer.co.jp そんなKaigi on Rails 2023の熱が冷めやらぬ中、株式会社スマートバンク様、株式会社マイベスト様、そして弊社メドピア株式会社の3社合同で After Kaigi on Rails LT Night と称したアフターイベントを11/9(木)に弊社オフィスで開催させていただきました。
2024年2月9、10日、広島国際会議場(広島)にて、YAPC::Hiroshima 2024の前夜祭・本編・懇親会が開催されました。 コロナ禍を過ぎて、再び完全オフラインでの開催となったYAPC::Japan。初めて中国地方・広島での開催となり、本編参加者には過去最大規模の448名の参加者が集まり、改めてYAPCというコミュニティが持つ熱量の大きさ、技術を楽しみたい人たちの期待を体感できる場となりました。 写真 多くの来場者が足早に本編受付を行った(写真提供:Japan Perl Association) 今回は本編の会場:厳島(ダリア)のセッションを中心に、その模様をお届けします。 「what you like」の気持ちで――オープニングメッセージ オープニングを担当したのは広島在住の@chanyou0311氏。 写真 「ようこそ広島へ!!」のメッセージで本編が開幕(写真提供:Japa
*本記事は STORES Advent Calendar 2023 2日目の記事です こんにちは。セキュリティ本部のsohです。 「パスキー(Passkeys)」が具体的に何を指しているのか、パスワードに比べて何がセキュアなのかが個人的に曖昧だったため、FIDOのサイトを見てみると以下のような文章が目に付きました。 Why passkeys? Passwords are a problem. 「なぜパスキーを利用するのか? - パスワードが問題だからです」 出典: Passkeys (Passkey Authentication) なかなか挑戦的な記述だと感じるかもしれません。実際パスキーは他の認証要素と比較してどんな点が優れているのでしょうか。 今回は「パスキー」の利点について調べてみます。 パスキーを体験してみる そもそも認証って? パスワードの問題点とは 他の認証要素の問題点とは O
みなさん、こんにちは!株式会社JMDCでプロダクト開発部に所属し、バックエンドの開発を担当している吉川(@yoshiyu0922)です。 今年、JMDCではアドベントカレンダーに参加しています。 qiita.com 本記事は、JMDC Advent Calendar 2023 19日目の記事です。 認証を実現する場合にCognitoやFirebaseなどIDaaSを利用することが多いと思いますが、KeycloakやzitadelなどOSSも多数存在しています。今回は技術検証の一環で、Oryをさわってみたので所感を書いていこうと思います。 Oryとは? Oryとは認証・認可を提供するOSSでモジュール形式で提供しており、4つのエコシステムで構成しています。(公式ドキュメントはこちらです) Ory Kratos:ID管理サーバー Ory Hydra:OAuth 2.0とOpenID Conne
面倒なことほどリターンもデカい〜YAPC::Hiroshima 2024に行ってきた - the code to rock
2月9日から13日まで、4泊5日で広島に行ってきました。YAPC::Hiroshima 2024に参加するため。 yapcjapan.org 本編は1日だけですが、前日入りして後半2日は観光のための延泊で。延泊分を除く宿代と往復の交通費は会社に出してもらいました。そんな私の会社の自社サービスは以下。中小企業向けの請求書作成、業務管理、経営管理システムです。リーズナブルで高機能。ぜひどうぞ。 the-board.jp 最初にYAPCに参加した2013年、今の会社にはまだ入ってなくて、IT業界には縁もゆかりもないフリーランスの編集者でした。当時の記録は以下。一生懸命書いてます。 note103.hatenablog.com 直近数回の記録も並べときますね。2018の沖縄ではスピーカー、2019の東京ではLTをやりました。我ながらすごいね。 YAPC::Okinawa 2018 の思い出 - t
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(前編)
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
BudouX: 読みやすい改行のための軽量な分かち書き器
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
2024年のWebアクセシビリティ | gihyo.jp
いろんなウェブサービスにパスキーでログインしてみる
パスキーとID連携の認証フローの共通点から見る認証技術の基本
PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife
DroidKaigi 2023にてパスキーについて話しました
The Case Against Passkeys - そんなことはさておいて
「Chrome Tech Talk Night #16 〜 パスキー」まとめ
話題の認証方法「パスキー」とは何か? 基礎解説と企業活用の是非
「Firefox 122」正式版リリース、ウェブ開発関連の検索時にMDNのページがサジェストされるように
News from WWDC24: WebKit in Safari 18 beta
パブリック プレビュー: パスキーのサポートを Microsoft Entra ID に拡張
YAPC::2024 Hiroshimaにはてなパーカーで参加しました #yapcjapan - Lambdaカクテル
FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証
After Kaigi on Rails LT Night 参加レポート - メドピア開発者ブログ
YAPC::Hiroshima 2024レポート――YAPC::Japan史上最大規模の448名が参加 | gihyo.jp
パスキーは何を解決するのか - STORES Product Blog
ID認証のOSS、Oryをさわってみた - JMDC TECH BLOG