idcon29のY!Jの事例からログインフローにおけるWebAuthn対応の課題を考えた - r-weblife
ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォのようにパスワード認証/FederationがあるところにWebAuthnを追加する場合にどうすべきか、みたいなのは別途どこかで整理したい気がしています。 推測 Platform Authenticator だけはなく YubikeyとかのRoaming Authenticatorに対応してる場合、リセットした場合も同じことが起こりそう。 そもそもFIDOはブラウザ - 認証器と多段の処理になっているのでブラウザレイヤーでの完全なコントロールってのも難しそう。 例えば、Andr
Are Passkeys really the beginning of the end of passwords? I certainly hope not!
Are Passkeys really the beginning of the end of passwords? I certainly hope not! Published on 2023-11-09. As of late, Passkeys are promoted as the killer of passwords and a lot of companies are now manically transitioning from passwords to Passkeys. I don't think that is a good idea. For decades now, security experts have emphasized the importance of creating strong and unique passwords yet to no
ヤフーにおける WebAuthn と Passkey の UX の紹介と考察 #idcon #fidcon | ドクセル
スライド概要 「ヤフーにおける WebAuthn と Passkey の UX の紹介と考察」 idcon vol.29 で発表した資料です。 ヤフーの WebAuthn に関連する UX と Passkeys の登場によって変化した部分について紹介します。 https://idcon.connpass.com/event/258685/
Meet Face ID and Touch ID for the web - WWDC20 - Videos - Apple Developer
Face ID and Touch ID provide a frictionless experience when logging in — and now you can use them on your websites in Safari with the Web Authentication API. Discover how to add this convenient and secure login alternative to your website. Resources Have a question? Ask with tag wwdc20-10670 Safari Release Notes Search the forums for tag wwdc20-10670 WebKit Open Source Project HD Video SD Video He
おはようございます ritouです。 前の投稿でも取り上げたWebAuthnとかFIDO認証って呼ばれてる認証方式のお話です。 ritou.hatenablog.com 今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 fidoalliance.org FIDO UX Guidelines - FIDO Alliance UX GUIDELINE PDF - FIDO Alliance 一言で言うと MacとかiOSとかAndroidとかWindowsの生体認証が使えるデバイス上でWebアプリを使ってるユーザーに対して、新規登録/ログインフローのなかでをどうやってデバイスを登録させてFIDO認証を使わせるか っていうお話です。 今回のターゲットとしては一般的なユーザーが使いつつ、強固なセキュリティが求められる銀行のWebアプリケーションのようなところを想定してい
フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか? この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか? 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか?既にMFA(Multi Factor Authentication:多要素認証)を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl
iOS14 Public Beta4と共にSafariがアップデートされ、SafariのWebAuthnサポートでTouch ID/Face IDを利用した時にAttestationを返却するようになりました。AppleはPlatform Authenticatorが返却するAttestationとして、独自のApple Anonymous Attestation Statementを新たに定めており、その内容を紐解いてみたので共有です。 Auth0 WebAuthn Debuggerでの調査新しいAuthenticatorやClient Platformが出てきた時、その動作を検証する最も簡単な方法は、Auth0の提供するWebAuthn Debuggerというツールを使うことです。WebAuthnのAPIを呼び出すパラメータを自由に調整するGUIと、WebAuthnのAPIのレスポンス
フィッシング耐性の高いMFA実装の解説 | ドクセル
CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開 フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説 MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida
Apple、WebAuthnベースのキーマテリアルをiCloudに保存し同期/認証に利用する「Passkeys in iCloud Keychain」のTechnology Previewを公開。
AppleがWebAuthnベースのキーマテリアルをiCloudに保存しログイン認証に利用する「Passkeys in iCloud Keychain」のTechnology Previewを公開しています。詳細は以下から。 Appleは日本時間2021年06月08日より完全オンラインでWWDC21を開催していますが、元Duo Securityのエンジニアで現在はAppleのConsulting Engineering Teamで働くPepijn Bruienneさんによると、Appleは新しい認証情報保存機能「Passkeys in iCloud Keychain」のTechnology Previewを新たに公開するそうです。 2. Passkeys in iCloud Keychain – Store WebAuthn-based key material in iCloud mak
GitHub - teamhanko/hanko: Customer Identity and Access Management for the passkey era
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
WebAuthnのやさしい解説!安全にパスワードレス認証ができる仕組みとは? | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]
WebWebAuthnFIDOFIDO2認証YubiKeyCTAP紹介 こんにちは!内定者アルバイトとして技術戦略部で働いている平尾です! オンライン上のサービスを利用する時、皆さんはどの様に自分のアカウントにログインしていますか? 恐らく多くの場合、IDとパスワードでログインしていることが多いのではないかと思います。 パスワードの流出による個人情報の漏洩などの被害は後を絶ちません。 今回紹介するWebAuthn(Web Authentication API) は、Web上でのより安全な認証可能にしてくれます。 この記事では、WebAuthnの概要を解説していきます。 WebAuthnとは WebAuthnを知るためにはまずFIDO(Fast IDentity Online) について知っておく必要があります。 FIDOというのは、パスワードの認証よりも安全で高速な認証を可能にする仕様のこ
![WebAuthnのやさしい解説!安全にパスワードレス認証ができる仕組みとは? | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a90ceb611d8babcae1ac009e31f89c2b0e722179/height=288;version=1;width=512/https%3A%2F%2Ftechblog.raccoon.ne.jp%2Fwp-content%2Fuploads%2F2020%2F07%2Fs_Mobile_Payments_with_Biometric_ID_System.jpg)
リアルタイム/中継型フィッシングの脅威と人類が取れる対策
ritouです。 絶望 パスワードリスト攻撃への対策として様々なサービスが2要素(段階)認証を導入しているものの、今度はリアルタイム、中継型などと呼ばれるフィッシングにやられるケースが見受けられます。 よく2段階認証で使われている Google Authenticatorのようなアプリで設定したTOTP SMSで送られて来るなんたらコード 机の引き出しにしまっとけって言われるリカバリーコード あたりはこのフィッシング攻撃にやられます。 この辺りが解説されているわかりやすそうなドキュメントもあります。 君達の資格情報は全ていただいた! | Japan Azure Identity Support Blog WebAuthnなどのFIDOなら大丈夫とありますが、ちょうど今日ブログに書いた "手元のスマホ(で動いてるアプリ)でログイン" の場合はその中でFIDOを使っててもやられます。 2段階/
Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2020 - Qiita
2020年になりすっかりなりを潜めていますが、DigitalIdentityに関する技術の勉強会である #iddance のアドカレやります。 参加条件は自由です。いわゆる認証認可と関連する技術、OAuth、OpenID Connect、FIDO、WebAuthn、DID、SSI、eyJ(JWT)、そしてSAMLとかに興味のある人、一緒に何か書きましょう!プロトコルや仕様に縛られずいろいろな話題が集まることを期待しています。 「書いてみたいけどお前やあの人の突っ込みが怖いんだわ」って時は事前のレビューもできますのでTwitterなどでご相談ください。 申し込んだけど穴空きそう!助けて!ってときもritouがなんとかしますので安心して参加してみてください。
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは!! Yahoo! JAPAN研究所の山口修司です。 突然ですが、生体認証は好きですか? 最近はスマホで生体認証が利用できるようになったので生体認証を使うシーンが増えていると思います。私は、使い勝手的に(以後ユーザビリティと書きます)、パスワードを覚えたり入力したりしたくないので、生体認証が選べるなら積極的に使っています。 Yahoo! JAPANでは、2018年にセキュリティとユーザビリティの両立を目指して、Yahoo! JAPAN IDに生体認証を導入しました。 ヤフー、Androidスマートフォンのウェブブラウザー上でのログインが指紋認証などの生体認証に対応 Webサイトの生体認証の仕組みには、認証に関するグローバ
学習用にWebAuthnのAPIを叩いたりレスポンスを眺めるためのページを作った | DevelopersIO
最近 WebAuthn の仕様を眺めているのですが、いまいち理解できないときは実際に API を叩いて挙動を確認していました。 API を叩くだけならこちらのページのサンプルを叩くだけで叩けるのですが、レスポンスについては attestationObject が CBOR でエンコードされてたり、Authenticator Data はパースしないとなんだかわからなかったりして割と確認がめんどくさいところがあります。 なのでパラメータを指定してAPIを叩くとレスポンスをパースして表示するページを作りました。 WebAuthn Viewer 利用イメージ navigator.credentials.create() もしくは navigator.credentials.get() を選択してリクエストのパラメーターを入力します。 ボタンを押すとそれぞれの API が呼ばれます。 レスポンスは
Cloudflare Workers で Passkey autofill できる WebAuthn RP を自作してみる
はじめに この記事は、Cloudflare Workers を使って CDN エッジ上で動作し、WebAuthn のみをサポートする ミニ IdP を作成してみたという話です。ソースコードは https://github.com/atpons/idp にあります。 実装する フロントエンド / バックエンド honojs/hono などの Cloudflare Workers に特化したフレームワークなどもありますが、今回は Hono ではなく、よりフルスタックなフレームワークとして Remix を採用しました。 フロントエンドとバックエンドについては Remix で実装することにします。なんとコンポーネントを書いたのはログイン画面だけです。 WebAuthn WebAuthn の RP を実装する際はまず https://github.com/herrjemand/awesome-web
公開情報から読むCloud-assisted BLE(caBLE)をつかったWebAuthn OpenID Summit Tokyo 2020 の公募セッションでしゃべらせていただいた内容です。 実際の実装へのリンクなど貼ってあるのでリンク集としてお使いいただければ……。 https://www.openid.or.jp/summit/2020/ ちなみに今使えるものではなく、未来の話です。 リンクがリンクになってなかったので以下に書きます。 * WebAuthnのGitHubライブラリへのプルリク https://github.com/w3c/webauthn/pull/909 * 差分プレビュー https://pr-preview.s3.amazonaws.com/w3c/webauthn/909/5d11e62...kpaulh:63be77d.html#sctn-cable-re
これらのオプションについて詳しく調べるには、 WebAuthnの公式仕様をご覧ください。 サーバーから返ってくるオプションの例を下記に示します。 { "rp": { "name": "WebAuthn Codelab", "id": "webauthn-codelab.glitch.me" }, "user": { "displayName": "User Name", "id": "...", "name": "test" }, "challenge": "...", "pubKeyCredParams": [ { "type": "public-key", "alg": -7 }, { "type": "public-key", "alg": -257 } ], "timeout": 1800000, "attestation": "none", "excludeCredentials
We’ve joined the FIDO Alliance to build a better future for authentication | 1Password
I’m happy to announce that 1Password has joined the FIDO Alliance to help build safer, simpler, and faster login solutions for everyone. In fact, we’re already on our way … keep reading for a sneak peek at the future of authentication in 1Password. Passwordless: we’re ready when you are When it comes to online security, people are often at their most vulnerable when logging in to accounts. That’s
みなさん、こんにちは。 NRIデジタルの工藤です。 私たちは、CoE活動として、新技術の探索・調査を行っています。 今回は次世代の認証技術として注目されている「WebAuthn」について前後編でご紹介します。 本記事ではWebAuthnの概要、WebAuthnを実現するための構成要素、実装シーケンスについてご紹介します。後半記事ではWebAuthnが抱える問題点とその解決策としてのPassKeyについてご紹介します。 WebAuthnとは WebAuthnの仕組み WebAuthnを実現するためには 認証器のWebAuthn対応状況 ブラウザのWebAuthn対応状況 WebAuthn 認証サーバを実現のために利用可能なOSS WebAuthnのシーケンス 登録 リクエスト情報 レスポンス情報 Attestation 認証 リクエスト情報 レスポンス情報 Assertion まとめ Web
Secure Payment Confirmation | Payments | Chrome for Developers
Secure Payment Confirmation (SPC) is a proposed web standard that allows customers to authenticate with a credit card issuer, bank, or other payment service provider using a platform authenticator: Unlock feature including Touch ID on a macOS device Windows Hello on a Windows device With SPC, merchants can allow customers to quickly and seamlessly authenticate their purchases, while issuing banks
GitHub について パスキーとセキュリティキーの両方があるが、同じキーを両方に登録することはできない。 セキュリティキーとして登録した既存のキーはパスキーに移動できるが、逆はできない。 パスワード入力の代わりとしてパスキー認証を使用できる。 Microsoft について Windows PC でなくとも「Windows PC の使用」から生体認証を登録可能 「セキュリティキー認証」にはQRコードの読み取りによる認証も含んでいる なぜか Safari では生体認証やセキュリティキーが使用できない どうやらユーザーエージェントによって対応の可否を決めているようで、 Firefox や Chromium にUAを偽装すれば登録/使用ができる。OSを Windows に偽装する必要はない。 上表で ▲ を付けたのはこれが理由。 最近は Microsoft Authenticator がデフォル
Make passkeys easy to use with best practices backed by user experience research. Based on open standards: Passkeys use standard public key cryptography to provide phishing-resistant authentication Phishing-resistant: Unlike passwords, passkeys are always strong and phishing-resistant Faster, simpler sign -ins: Passkeys replace password-only sign ins with secure and fast sign ins across all device
Move beyond passwords - WWDC21 - Videos - Apple Developer
Streaming is available in most browsers, and in the WWDC app. Despite their prevalence, passwords inherently come with challenges that make them poorly suited to securing someone's online accounts. Learn more about the challenges passwords pose to modern security and how to move beyond them. Explore the next frontier in account security with secure-by-design, public-key-based credentials that use
WebAuthn の Attestation
WebAuthn の Attestationwatahani4 MinutesNovember 19, 2018 AttestationWebAuthn に関して、認証の世界で生きてこなかった私が最も取っつきづらかった概念である Attestation について改めてまとめておこうと思う。 たぶんあってると思うんだけど、なにせ認証の世界は難しい。 何か間違いや考え違いがあったら @watahani まで連絡をくれたらうれしい。 はじめにWebAuthn で利用される FIDO 認証は、シンプルにいえば単なる公開鍵を利用した認証だ。TLS なんかで利用されるアレ。あまり詳しくない人(ワイのことな)のために概要を書くと、ユーザーが持っている秘密鍵とサーバーに保存される公開鍵(キーペア)を利用して認証をする。サーバーからはチャレンジと呼ばれるランダムな文字列が送られ、ユーザーが持っている秘密鍵で
Webアプリケーションの認証からパスワードを無くす動きが加速している。2022年9月以降、米Apple(アップル)と米Google(グーグル)が、スマートフォンやパソコン向けのOSやWebブラウザーに「パスキー」と呼ばれる仕組みを相次いで採用。複数の端末からWebサイトにパスワードレスでログインできるようにした。パスキーはパスワードレス普及の切り札となる可能性がある。 「パスキーは2022年最大の成果だ」――。 パスワードレス認証の仕組みを検討する非営利団体であるFIDOアライアンスのエグゼクティブディレクター兼CMO(最高マーケティング責任者)であるアンドリュー・シキア氏は2022年12月9日、日本では3年ぶりの開催となったFIDOアライアンスの記者説明会でこう強調した。複数の端末からWebサイトなどにログインする操作がこれまでよりも安全かつ簡単になるという。 iPhoneやAndroi
この記事は freee Developers Advent Calendar 2021 の5日目です。 こんばんは。Identity & Access Managementを担当している てらら(id:a_terarara) です。 先日 死霊館 を鑑賞しました。(ホラー注意) この作品は実話から作られたということですが、購入した中古戸建てでポルダーガイストに出くわしたり悪魔にとり憑かれたり中々ハードなお話で最後までハラハラさせてくれました。 その中で、全ての時計が3時7分に止まるという現象があったのをきっかけに今回のAdvent Calendarは丑三つ時にお送りしようと思った次第です。 なお、丑三つ時って3時のことやろって思ってたら実は2時〜2時半のことらしいです。 WebAuthnとの出会い 2021年10月時点の私はWebAuthnに触れたことが無く 「パスワードの代わりに公開鍵を
「パスキー」の採用が相次ぐ
Webアプリケーションの認証からパスワードを無くす動きが加速している。2022年9月以降、米アップルと米グーグルが、スマートフォンやパソコンのOSやWebブラウザーに「パスキー」と呼ばれる仕組みを相次いで採用。複数の端末からWebサイトにパスワードレスでログインできるようにした。パスキーはパスワードレス普及の切り札となる可能性がある。 有力ベンダーが続々対応 パスキーを採用する動きが国内外の有力ベンダーで盛んだ。2022年3月にFIDOアライアンス▼がパスキーを提案すると、アップル、グーグル、米マイクロソフトがOSへの搭載を表明。同年12月時点ではアップルが「iOS 16」と「macOS Ventura」に、グーグルもベータ版ながら「Android」に搭載した。マイクロソフトの「Windows」も近日中に対応する。 日本のベンダーも自社のネットサービスでの対応を進める。例えばヤフーが「Ya
何をやったか 最近の仕事柄興味があったのと、WEB+DB PRESS Vol.114の特集2を読んだこともあって、理解を深めるためにWebAuthnでの公開鍵登録(今回はサインアップを兼ねる)、認証だけできる簡単なWebアプリを作りました。リポジトリのREADMEに様子のGIFアニメを貼っています*1。今回はChrome 80とTouch IDで試しています: GitHub - kymmt90/webauthn_app このボタンをクリックするとHerokuにデプロイできます。リポジトリのREADMEにも同じボタンを置いています: デプロイ後に環境変数 WEBAUTHN_ORIGIN に https://<Herokuアプリ名>.herokuapp.com を追加してください。 理解できた点 WebAuthn自体の詳しい説明は、Web上のリソースを参照したほうがよいので、今回はとくに書いて
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
ritouです。 "Digital Identity技術勉強会 #iddance Advent Calendar 2022" 13日目の記事です。 qiita.com 現状、Digital Identityを専門とするような開発者がいないような場合に新規サービスを立ち上げようと思ったら、Auth0やFirebase AuthenticationのようないわゆるIDaaSを利用するのも選択肢として上がるでしょう。 いわゆるID基盤的なものを0から設計、実装できるような 俺の考える最強の...みたいなの を既に見つけてる感じの人からすると「ちょっと違う」「凝ったことやろうとすると機能というか自由度が足りない」「帯に短し襷に長し」みたいな意見が出ることもありますが、現状だけではなくDigital Identity分野の今後のトレンドを追いつつ機能追加していくみたいな長い目で見た時にはそれなりに有
Introducing hints, Related Origin Requests and JSON serialization for WebAuthn in Chrome | Blog | Chrome for Developers
Hints: Hints give relying parties (RPs) better control over WebAuthn UI in the browser. They are especially helpful for enterprise users who want to use security keys. Related origin requests: With related origin requests, RPs can make passkeys valid on multiple domains. If you own multiple sites, you can now enable your users to reuse their passkey across your sites, eliminating login friction. J
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FIDOアライアンスのUXガイドラインには何が書いてあるか - r-weblife
MFA(多要素認証)でさえ突破されている~WebAuthnがおすすめな理由 #1~ | LAC WATCH
解剖 Apple Anonymous Attestation
WebAuthnを用いたパスワードレス生体認証のユーザビリティ調査
公開情報から読むCloud-assisted BLE(caBLE)をつかったWebAuthn
はじめての WebAuthn | Google for Developers
次世代の認証技術 WebAuthnを紹介【前編】 | TECH | NRI Digital
WebAuthn/Passkeyでの生体認証の対応状況 - Qiita
Design Guidelines - FIDO Alliance
iOSやAndroidに相次ぎ搭載、「パスキー」はパスワードレス普及の切り札になるか
丑三つ時におくるWebAuthnの勘所 - freee Developers Hub
PerlでつくるフルスクラッチWebAuthn/パスキー認証 / Demonstration of full-scratch WebAuthn/Passkey Authentication written in Perl
WebAuthnによる認証機能を作りながら理解を深める - kymmt
パスキーの概要とKeycloakでの動作確認 - Qiita
IDaaSの認証機能でID連携を利用することをおすすめする理由 - r-weblife