パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
マツコの知らない LINE ログインの世界
Ubie プロダクトプラットフォーム所属の nerocrux です。今回は Ubie において、 LINE ログインを成功させるために工夫したことをいくつか紹介したいと思います。 面白いこともすごいこともやってないし、対象読者もよくわかりませんが、興味があったら読んでみてください。 はじめに 症状検索エンジン「ユビー」について Ubie では、症状検索エンジン「ユビー」(以下、ユビーと呼ぶ)という一般ユーザー向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーは Web ブラウザ経由で利用されることが多いですが、iOS / Android のネイティブアプリも提供しています。 ユーザーがユビーを利用する際に、ユビーのアカウントを作成することで、一貫性のある問診・受診・受診後のフォローアップ体
世界一わかりやすいゼロ知識証明 Vol.2: Zero-Knowledge Proofs in the Context of Modern Cryptography
このブログシリーズをグラントプロジェクトとしてサポートしてくださっているイーサリアム財団、また執筆に際してフィードバックとレビューをしてくださった末神奏宙さんに感謝します。 Special thanks to Ethereum Foundation for awarding grants to this blog post series, and Sora Suegami for feedback and review. このブログシリーズは、ソフトウェアエンジニアに限らず、あらゆる日本の読者のみなさんに向けて、最先端の暗号技術とその重要性をわかりやすく説明するという趣旨で書かれています。それぞれ単体の記事としてもお読みいただけますが、順番に読み進めていくことでより理解が深まります。まだお読みでない方は、ブロックチェーンやコンセンサスアルゴリズムの仕組みについて解説しているVol.1を先に
ritouです。 最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ?リカバリ方法のないそんなもん使おうと思う訳あらへん。 別件ではパスワード認証が詰まないと書かれているのも見かけましたので、一回整理しておきましょう。 「どんな認証方式でも、詰む」 パスワード、メールやSMS OTP、メールで送られるマジックリンク、認証用アプリ、TOTP、生体認証、パスキー...全ての認証方式で「詰む」状況というのはあり得ます。 知識情報 : 忘れる 所持情報 : デバイスや環境をなくす、一時的に利用できない 生体情報 : 関連する器官の欠損、怪我など もちろん、その頻度や条件が異なります。 FIDO認証からパスキーに変わった部分
時雨堂創業 12 年目
2013 年 3 月 8 日に時雨堂を創業し、2024 年 3 月 8 日で時雨堂創業 11 年、そして 12 年目にはいりました。あっという間です。 起業のきっかけは、ある経営者に「貴方がどんなに一生懸命に製品を作ってもそれは会社のものでしかないので、自分の会社を持って自分の製品を作って、売った方がいい」といわれた事なんですが、それから 11 年立ちました。 起業したときから状況も大きく変わりました。自社製品の売り上げだけで会社が回っています。今後の時雨堂について雑に書いて行きます。 少人数でスケールする製品を作り続ける時雨堂はパッケージソフトウェアのサブスクリプションで稼いでいる会社です。営業もいないため、買いたいといってくれる企業に売るだけです。 社員が社内にあるライセンス発行サーバーに Tailscale でリモートで繋いでライセンス (JSON ファイル) を発行し、ライセンスフ
2025年1月28日紙版発売 えーじ,倉林雅,小岩井航介 著 A5判/256ページ 定価3,300円(本体3,000円+税10%) ISBN 978-4-297-14653-5 Gihyo Direct Amazon 楽天ブックス 丸善ジュンク堂書店 ヨドバシ.com 電子版 Amazon Kindle この本の概要 本書のテーマは,パスワードレス認証を実現する「パスキー」です。パスキーはApple,Google,Microsoftといった3大プラットフォーマを含む多くの企業が協力して開発している認証技術で,大手から中小企業までさまざまなサービスで導入が進んでいます。 「パスキーとは?」の疑問に答えるとともに概要はもちろんのこと,従来の認証技術の課題と比較して何が優れているのか,パスキーの導入で知っておくべき特性,パスキーの登録・認証・管理画面などのUX設計,WebサイトだけでなくiOSや
安全な認証のためにユーザーに使わせるべきは「パスキーも扱えるパスワードマネージャー」である - r-weblife
ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話ししてきました。 大学ICT推進協議会2024年度年次大会 OpenIDファウンデーション・ジャパン エバンジェリストを名乗ってOpenID Connectの話ではなくパスキーの話をしました。最近よくありますね。 今回はユーザー向けの「パスキーの啓蒙」もとい「安全なユーザー認証の啓蒙」について考えていたことをお話させていただきました。 その資料をベースに色々付け足したら長編になってしまいました。お時間がある方
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「認証」を整理する | IIJ Engineers Blog
パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife
パスキーのすべて ── 導入・UX設計・実装