15分でサクッとパスキー入門

15分でサクッとパスキー入門 Oﬀers_DeepDive 2025 年 4 月 17 日 Auth屋 1

Auth屋 is 誰？ OAuth2.0、OpenID Connectの本を書いてます商業誌同人誌 Boothで販売中 https://authya.booth.pm/
Amazon、その他書店で発売中 2

Auth屋 is 誰？ 3 パスキーの同人誌も書きました https://booth.pm/ja/items/5266166

本公演の趣旨 4 • 「パスキー認証なにもわからない」勢向け • パスキー認証の仕組み、メリット、制限を説明します

パスキー認証の仕組み 5

パスキー認証とは 6 パスワードマネージャー FIDO認証パスキー認証

秘密鍵はEnd to Endで暗号化される 7 暗号秘密鍵は暗号化してから同期復号プラットフォームでも秘密鍵を見ることはできない

デバイスの買い換え・紛失時 8 秘密鍵は暗号化してバックアッププラットフォームにログインしたうえでパスコードなどで復元古いデバイス新しいデバイスプラットフォーム

生体情報は同期しない 9

生体情報はネットワークを通らない 10

認証の流れ 11 ユーザー認証器ウェブページサーバーブラウザドメイン(RP ID)に紐付けてユーザーの秘密鍵を管理
ユーザーの公開鍵を管理

認証の流れ 12 ユーザー認証器ウェブページサーバー ①認証要求 ② 乱数生成 ⑥認証器呼び出し
⑦ 指紋要求 ⑧ 指を当てる ⑨ 秘密鍵で乱数に署名 ⑩ 署名済み乱数 ⑪ 公開鍵で署名検証ブラウザ ③ 乱数送信 ⑫認証成功 ⑤ ドメインチェック ④WebAuthn呼び出し

共有PCでログイン 13 自分のデバイスハイブリッドトランスポート

パスキー認証のメリット 14

フィッシング攻撃が成立しない 15 ユーザー認証器フィッシングサイト正規のサーバー ①認証要求 ② 乱数生成ブラウザ
③ 乱数送信 ⑤ ドメインチェック ④WebAuthn呼び出し正規ドメインに紐付いた秘密鍵を呼び出せない ⑥認証器呼び出し正規ドメインに紐付けて秘密鍵を管理

アカウント乗っ取り攻撃が成立しない 16

サーバー側の漏洩リスクが低い 17

ログインUXがシンプル 18

ログインUXがシンプル | オートフィル 19

ログインUXがシンプル | ワンボタンログイン 22

ログインUXがシンプル | ワンボタンログイン 23

ログインUXがシンプル | 効果 24 2024年12月12日 FIDO 東京セミナー関連記事[1][2]より抜粋 • ソニー・インタラクティブエンタテインメント（PlayStation） ◦
サインイン時間約24%短縮 • Google ◦ サインイン成功率 30%向上 ◦ サインイン速度 20％向上 • LINEヤフー（Yahoo! Japan ID） ◦ SMSを用いたワンタイムパスワード（OTP）認証に比べて2.6倍速い • 東急電鉄（TOKYU ID） ◦ パスワード＋メールOTP認証に比べて12倍速い

パスキー認証利用についての注意事項 25

パスキー認証利用についての注意事項 26 • 秘密鍵の同期範囲 • パスキー認証特有の攻撃

秘密鍵の同期範囲 27 • 利用するパスワードマネージャ、ブラウザによって同期できる範囲が規定される

秘密鍵の同期範囲 28 Googleパスワードマネージャー、Chromeを使う場合 Google パスワードマネージャー

秘密鍵の同期範囲 29 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン

秘密鍵の同期範囲 30 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン

秘密鍵の同期範囲 31 WinでEdgeを使う場合

パスキー認証特有の攻撃 • ハイブリッドトランスポートのQRコードを利用した攻撃 • 秘密鍵のエクスポート、インポート機能 • 普及につれてこれからでてくるだろう 32

パスキー認証導入の検討事項 33

パスキー認証導入時の検討事項 34 • 登録およびログインのUX ◦ パスワードでログイン後にパスキー作成に誘導？ ▪ 自動で作成する？ ◦ オートフィル
or ワンボタン or その他？ • 既存ログインフローとの関係 ◦ パスキーを優先させる？ • パスキー認証非対応環境 ◦ 古いバージョンのOS、ブラウザ • エラー発生時のケア • リカバリー

ご静聴ありがとうございました 35

15分でサクッとパスキー入門

15分でサクッとパスキー入門

More Decks by Auth屋

Featured

Transcript