Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
15分でサクッとパスキー入門
Search
Auth屋
April 14, 2025
7
670
15分でサクッとパスキー入門
Auth屋
April 14, 2025
Tweet
Share
More Decks by Auth屋
See All by Auth屋
仕様が読めるようになるOAuth2.0、OpenID Connect 入門
authyasan
33
9.8k
Serverless Frontend Meetup パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
authyasan
2
320
OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
authyasan
9
2.6k
技術書界隈を盛り上げる会#4 なぜ技術同人サークルをつづけるのか?
authyasan
0
180
30分で「OAuth2.0完全に理解した」(freee API編)
authyasan
1
1.2k
【技術書典7】非公式!開催直前宣伝LT会 9/19
authyasan
1
150
技術書典に出した雰囲気OAuth本の紹介と10分でわかった気になるOAuth2.0
authyasan
2
960
ターゲットに届けるためにやったこと #技術同人誌再販Night★#4
authyasan
1
570
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
35
2.7k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
The Pragmatic Product Professional
lauravandoore
35
6.7k
The Invisible Side of Design
smashingmag
299
50k
Typedesign – Prime Four
hannesfritz
41
2.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Gamification - CAS2011
davidbonilla
81
5.3k
Code Reviewing Like a Champion
maltzj
523
40k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
How STYLIGHT went responsive
nonsquared
100
5.6k
Navigating Team Friction
lara
185
15k
Transcript
15分でサクッとパスキー入門 Offers_DeepDive 2025 年 4 月 17 日 Auth屋 1
Auth屋 is 誰 ? OAuth2.0、OpenID Connectの本を書いてます 商業誌 同人誌 Boothで販売中 https://authya.booth.pm/
Amazon、その他書店で発売中 2
Auth屋 is 誰 ? 3 パスキーの同人誌も書きました https://booth.pm/ja/items/5266166
本公演の趣旨 4 • 「パスキー認証なにもわからない」勢向け • パスキー認証の仕組み、メリット、制限を説明します
パスキー認証の仕組み 5
パスキー認証とは 6 パスワードマネージャー FIDO認証 パスキー認証
秘密鍵はEnd to Endで暗号化される 7 暗号 秘密鍵は暗号化してから 同期 復号 プラットフォームでも 秘密鍵を見ることはできない
デバイスの買い換え・紛失時 8 秘密鍵は暗号化して バックアップ プラットフォームにログインした うえでパスコードなどで復元 古いデバイス 新しいデバイス プラットフォーム
生体情報は同期しない 9
生体情報はネットワークを通らない 10
認証の流れ 11 ユーザー 認証器 ウェブページ サーバー ブラウザ ドメイン(RP ID)に紐付けて ユーザーの秘密鍵を管理
ユーザーの公開鍵を管理
認証の流れ 12 ユーザー 認証器 ウェブページ サーバー ①認証要求 ② 乱数生成 ⑥認証器呼び出し
⑦ 指紋要求 ⑧ 指を当てる ⑨ 秘密鍵で乱数に署名 ⑩ 署名済み乱数 ⑪ 公開鍵で署名検証 ブラウザ ③ 乱数送信 ⑫認証成功 ⑤ ドメインチェック ④WebAuthn呼び出し
共有PCでログイン 13 自分のデバイス ハイブリッドトランスポート
パスキー認証のメリット 14
フィッシング攻撃が成立しない 15 ユーザー 認証器 フィッシングサイト 正規のサーバー ①認証要求 ② 乱数生成 ブラウザ
③ 乱数送信 ⑤ ドメインチェック ④WebAuthn呼び出し 正規ドメインに紐付いた 秘密鍵を呼び出せない ⑥認証器呼び出し 正規ドメインに紐付けて 秘密鍵を管理
アカウント乗っ取り攻撃が成立しない 16
サーバー側の漏洩リスクが低い 17
ログインUXがシンプル 18
ログインUXがシンプル | オートフィル 19
ログインUXがシンプル | オートフィル 20
ログインUXがシンプル | オートフィル 21
ログインUXがシンプル | ワンボタンログイン 22
ログインUXがシンプル | ワンボタンログイン 23
ログインUXがシンプル | 効果 24 2024年12月12日 FIDO 東京セミナー関連記事[1][2]より抜粋 • ソニー・インタラクティブエンタテインメント(PlayStation) ◦
サインイン時間 約24%短縮 • Google ◦ サインイン成功率 30%向上 ◦ サインイン速度 20%向上 • LINEヤフー(Yahoo! Japan ID) ◦ SMSを用いたワンタイムパスワード(OTP)認証に比べて2.6倍速い • 東急電鉄(TOKYU ID) ◦ パスワード+メールOTP認証に比べて12倍速い
パスキー認証利用について の注意事項 25
パスキー認証利用についての注意事項 26 • 秘密鍵の同期範囲 • パスキー認証特有の攻撃
秘密鍵の同期範囲 27 • 利用するパスワードマネージャ、ブラウザによって同期できる範囲が規定さ れる
秘密鍵の同期範囲 28 Googleパスワードマネージャー、Chromeを使う場合 Google パスワード マネージャー
秘密鍵の同期範囲 29 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン
秘密鍵の同期範囲 30 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン
秘密鍵の同期範囲 31 WinでEdgeを使う場合
パスキー認証特有の攻撃 • ハイブリッドトランスポートのQRコードを利用した攻撃 • 秘密鍵のエクスポート、インポート機能 • 普及につれてこれからでてくるだろう 32
パスキー認証 導入の検討事項 33
パスキー認証導入時の検討事項 34 • 登録およびログインのUX ◦ パスワードでログイン後にパスキー作成に誘導? ▪ 自動で作成する? ◦ オートフィル
or ワンボタン or その他? • 既存ログインフローとの関係 ◦ パスキーを優先させる? • パスキー認証非対応環境 ◦ 古いバージョンのOS、ブラウザ • エラー発生時のケア • リカバリー
ご静聴 ありがとうございました 35