Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
15分でサクッとパスキー入門
Search
Auth屋
April 14, 2025
7
690
15分でサクッとパスキー入門
Auth屋
April 14, 2025
Tweet
Share
More Decks by Auth屋
See All by Auth屋
仕様が読めるようになるOAuth2.0、OpenID Connect 入門
authyasan
33
9.9k
Serverless Frontend Meetup パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
authyasan
2
330
OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
authyasan
9
2.6k
技術書界隈を盛り上げる会#4 なぜ技術同人サークルをつづけるのか?
authyasan
0
180
30分で「OAuth2.0完全に理解した」(freee API編)
authyasan
1
1.2k
【技術書典7】非公式!開催直前宣伝LT会 9/19
authyasan
1
150
技術書典に出した雰囲気OAuth本の紹介と10分でわかった気になるOAuth2.0
authyasan
2
960
ターゲットに届けるためにやったこと #技術同人誌再販Night★#4
authyasan
1
580
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
140
7k
GitHub's CSS Performance
jonrohan
1031
460k
Speed Design
sergeychernyshev
31
1k
Bash Introduction
62gerente
614
210k
Become a Pro
speakerdeck
PRO
28
5.4k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.8k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
281
13k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
660
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
Making the Leap to Tech Lead
cromwellryan
134
9.3k
Transcript
15分でサクッとパスキー入門 Offers_DeepDive 2025 年 4 月 17 日 Auth屋 1
Auth屋 is 誰 ? OAuth2.0、OpenID Connectの本を書いてます 商業誌 同人誌 Boothで販売中 https://authya.booth.pm/
Amazon、その他書店で発売中 2
Auth屋 is 誰 ? 3 パスキーの同人誌も書きました https://booth.pm/ja/items/5266166
本公演の趣旨 4 • 「パスキー認証なにもわからない」勢向け • パスキー認証の仕組み、メリット、制限を説明します
パスキー認証の仕組み 5
パスキー認証とは 6 パスワードマネージャー FIDO認証 パスキー認証
秘密鍵はEnd to Endで暗号化される 7 暗号 秘密鍵は暗号化してから 同期 復号 プラットフォームでも 秘密鍵を見ることはできない
デバイスの買い換え・紛失時 8 秘密鍵は暗号化して バックアップ プラットフォームにログインした うえでパスコードなどで復元 古いデバイス 新しいデバイス プラットフォーム
生体情報は同期しない 9
生体情報はネットワークを通らない 10
認証の流れ 11 ユーザー 認証器 ウェブページ サーバー ブラウザ ドメイン(RP ID)に紐付けて ユーザーの秘密鍵を管理
ユーザーの公開鍵を管理
認証の流れ 12 ユーザー 認証器 ウェブページ サーバー ①認証要求 ② 乱数生成 ⑥認証器呼び出し
⑦ 指紋要求 ⑧ 指を当てる ⑨ 秘密鍵で乱数に署名 ⑩ 署名済み乱数 ⑪ 公開鍵で署名検証 ブラウザ ③ 乱数送信 ⑫認証成功 ⑤ ドメインチェック ④WebAuthn呼び出し
共有PCでログイン 13 自分のデバイス ハイブリッドトランスポート
パスキー認証のメリット 14
フィッシング攻撃が成立しない 15 ユーザー 認証器 フィッシングサイト 正規のサーバー ①認証要求 ② 乱数生成 ブラウザ
③ 乱数送信 ⑤ ドメインチェック ④WebAuthn呼び出し 正規ドメインに紐付いた 秘密鍵を呼び出せない ⑥認証器呼び出し 正規ドメインに紐付けて 秘密鍵を管理
アカウント乗っ取り攻撃が成立しない 16
サーバー側の漏洩リスクが低い 17
ログインUXがシンプル 18
ログインUXがシンプル | オートフィル 19
ログインUXがシンプル | オートフィル 20
ログインUXがシンプル | オートフィル 21
ログインUXがシンプル | ワンボタンログイン 22
ログインUXがシンプル | ワンボタンログイン 23
ログインUXがシンプル | 効果 24 2024年12月12日 FIDO 東京セミナー関連記事[1][2]より抜粋 • ソニー・インタラクティブエンタテインメント(PlayStation) ◦
サインイン時間 約24%短縮 • Google ◦ サインイン成功率 30%向上 ◦ サインイン速度 20%向上 • LINEヤフー(Yahoo! Japan ID) ◦ SMSを用いたワンタイムパスワード(OTP)認証に比べて2.6倍速い • 東急電鉄(TOKYU ID) ◦ パスワード+メールOTP認証に比べて12倍速い
パスキー認証利用について の注意事項 25
パスキー認証利用についての注意事項 26 • 秘密鍵の同期範囲 • パスキー認証特有の攻撃
秘密鍵の同期範囲 27 • 利用するパスワードマネージャ、ブラウザによって同期できる範囲が規定さ れる
秘密鍵の同期範囲 28 Googleパスワードマネージャー、Chromeを使う場合 Google パスワード マネージャー
秘密鍵の同期範囲 29 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン
秘密鍵の同期範囲 30 iCloud キーチェーン、Safariを使う場合 iCloud キーチェーン
秘密鍵の同期範囲 31 WinでEdgeを使う場合
パスキー認証特有の攻撃 • ハイブリッドトランスポートのQRコードを利用した攻撃 • 秘密鍵のエクスポート、インポート機能 • 普及につれてこれからでてくるだろう 32
パスキー認証 導入の検討事項 33
パスキー認証導入時の検討事項 34 • 登録およびログインのUX ◦ パスワードでログイン後にパスキー作成に誘導? ▪ 自動で作成する? ◦ オートフィル
or ワンボタン or その他? • 既存ログインフローとの関係 ◦ パスキーを優先させる? • パスキー認証非対応環境 ◦ 古いバージョンのOS、ブラウザ • エラー発生時のケア • リカバリー
ご静聴 ありがとうございました 35