Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスキーのすべて / 20250324 iddance Lesson.5

kura
March 24, 2025
Programming
0
96

パスキーのすべて / 20250324 iddance Lesson.5

「iddance Lesson.5 パスキーのすべて」のパネルディスカッション資料になります。
https://idance.connpass.com/event/345970/

2025年1月28日に「パスキーのすべて ── 導入・UX設計・実装」を発売しました。
https://gihyo.jp/book/2025/978-4-297-14653-5

ritouさんと共著者で本書やパスキーの議論をしました。

Youtubeにアーカイブ動画もアップロードされているためご参照ください。
https://www.youtube.com/watch?v=dkHrfjY_Kas

kura

March 24, 2025
Tweet

More Decks by kura

See All by kura
パスキーのすべて ── 導入・UX設計・実装の紹介 / 20250213 パスキー開発者の集い
kuralab
3
1.1k
パスワードレス時代のOpenID Connectの活用 / 20230404-OAuth-Numa-Workshop
kuralab
8
4.4k
エンプラでも活用できる!Goのご紹介 〜初級者編〜 / 20201203-go-intro-for-enterprise-beginners
kuralab
0
270
Go言語で学ぶYahoo! ID連携の黒帯ハンズオン / 20200204-kurobi-hands-on
kuralab
3
1k

Other Decks in Programming

See All in Programming
なぜselectはselectではないのか
taiyow
2
280
보일러플레이트 코드가 진짜 나쁜 건가요?
gaeun5744
0
360
MCP世界への招待: AIエンジニアが創る次世代エージェント連携の世界
gunta
2
420
CQRS+ES勉強会#1
rechellatek
0
380
Go1.24で testing.B.Loopが爆誕
kuro_kurorrr
0
140
私の愛したLaravel 〜レールを超えたその先へ〜
kentaroutakeda
11
3.3k
Denoでフロントエンド開発 2025年春版 / Frontend Development with Deno (Spring 2025)
petamoriken
1
1.3k
アーキテクトと美学 / Architecture and Aesthetics
nrslib
12
2.9k
研究開発と実装OSSと プロダクトの好循環 / A virtuous cycle of research and development implementation OSS and products
linyows
1
180
OUPC2024 Day 1 解説
kowerkoint
0
390
フロントエンドテストの育て方
quramy
8
2.2k
新卒から4年間、20年もののWebサービスと 向き合って学んだソフトウェア考古学
oguri
7
6.4k

Featured

See All Featured
Building Applications with DynamoDB
mza
94
6.3k
Visualization
eitanlees
146
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
A better future with KSS
kneath
238
17k
Become a Pro
speakerdeck
PRO
26
5.2k
Building an army of robots
kneath
304
45k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Designing Experiences People Love
moore
140
23k
A Tale of Four Properties
chriscoyier
158
23k
Practical Orchestrator
shlominoach
186
10k
Optimising Largest Contentful Paint
csswizardry
34
3.1k

Transcript

  1. パスキーのすべて ritou えーじ 倉林雅 小岩井航介 #iddance Lesson.5

  2. ブラウザ開発チームでWeb 開発者向けの認証技術など の啓蒙を担当しています。 えーじ 倉林雅 小岩井航介 OpenID・OAuth技術の 啓発・教育活動に携わり、現 在は某インターネット企業に てプロダクトマネージャを担

    当しています。 ID・認証に関することを中心 に、新しい技術を調べたり、調 べたことを発表したり、仕様を 書いたり、広めたりしていま す。 2
 技術コミュニティの運営、技 術者向けのカンファレンスを 通してOIDCやOAuth、パス キーといったデジテルアイデ ンティティに関する啓発活動 を行っている。 ritou モデレーター パネリスト

  3. 3
 「パスキーのすべて」の概要 「パスキー」はパスワードレス認証を実現する認証技術です。 本書では、開発者はもちろん、企画職やデザイン職、セキュリティ担当などの 認証に携わる方々に向けた内容になっています。 • 従来の認証技術の課題と比較して何が優れているのか • パスキーの導入で知っておくべき特性 •

    パスキーの登録・認証・管理画面などの UX設計 • WebサイトだけでなくiOSやAndroidの具体的な実装 • パスキーが登場する以前の歴史から最新の仕様までの解説 • 読者の疑問や質問に答えるコラムも充実 紙版・電子版絶賛発売中 秋田の猫も レビューしたよ

  4. 本書の構成 4
 第1章 パスキー導入が求められる背景 ── 既存の認証方法とパスキーの背景を知ろう 第2章 パスキーを理解する ── パスキーの特徴や利点を理解しよう 第3章 パスキーのユーザー体験 ──

    パスキーの体験をイメージしよう 第4章 サポート環境 ── ユーザーの環境ごとに利用できる機能を確認しよう 第5章 パスキーの UXを実装する ── UXの実現に必要なメソッドやパラメータを知ろう 第6章 WebAuthn APIリファレンス ── クライアントとサーバの実装の詳細を確認しよう 第7章 スマホアプリ向けの実装 ── AndroidとiOSにおける実装を確認しよう 第8章 パスキーのより高度な使い方 ── より効果的な活用とUX向上方法を知ろう 第9章 パスキー周辺のエコシステム ── 標準化の流れや開発者向け情報を確認しよう 付録A クライアント用 Extensionの解説 ── 後方互換や先進的な活用のための拡張機能をみてみよう 付録B iOS実装サンプル ── サンプルアプリを動かしてみよう 本書についての詳細はこちら

  5. コラム一覧 5
 第1章 ❏ NIST SP 800-63 ❏ 公開鍵暗号をざっくりと理解する 第2章

    ❏ ディスカバラブルでないクレデンシャル ❏ パスキーは多要素認証ではない場合も あるのでは? ❏ アカウントのライフサイクルとパスキーの関係 性 第3章 ❏ パスキーの他人との共有 ❏ クロスデバイス認証のしくみ 第5章 ❏ PINを使わず,生体認証だけでパスキーを 利用できるようにすることはできますか? 第6章 ❏ パスキーの同期を禁止する方法はある? 第7章 ❏ アプリで利用している生体認証とパスキーは 何が違うの? 本書についての詳細はこちら

  6. 6


  7. 推しの章 or 節はどこですか? その理由は?

  8. 1. パスキーの導入が求められる背景 4. サポート環境

  9. #iddance #パスキーのすべて 1. パスキーの導入が求められる背景 • パスワード • 二要素認証 • パスワードレス

    • ID連携 9
 推しの章 or 節はどこですか?その理由は?

  10. #iddance #パスキーのすべて 4. サポート環境 • ユーザーエージェント • パスキープロバイダ • OSごとの挙動

    10
 推しの章 or 節はどこですか?その理由は?

  11. 2.4 パスキーのよくある誤解を解く 2.5 パスキーも銀の弾丸ではない

  12. #iddance #パスキーのすべて 2.4 パスキーのよくある誤解を解く • 同期するパスキーよりも同期しないパスキーの方が安全なのでは? ◦ 同期しないパスキーであれば、セキュリティキーなどを物理的に窃取されない 限りはリモート攻撃は不可能であり、同期パスキーよりも安全ではある ◦

    一方で、同期しないパスキーはログインやアカウントリカバリーの観点で UXが低下することを考慮しなければいけない • パスキーは二要素認証で利用するもの? ◦ たとえ、公開鍵が漏洩したとしてもリスト攻撃は成立しないため、 パスキー単体で強固なセキュリティを提供する ◦ パスワードを加えてもユーザーに不要な手間を増やすだけであるため、 パスキーのみのパスワードレス認証とするのがよい • …etc 12
 推しの章 or 節はどこですか?その理由は?

  13. #iddance #パスキーのすべて 2.5 パスキーも銀の弾丸ではない • パスワードマネージャーのアカウントが乗っ取られたら? ◦ パスワードマネージャーのアカウントが乗っ取られても、 PINで復号されるまでにパスキーを無効化するなどの対策を講じることで 被害を最小化することはできる

    • パスキーにアクセスできなくなったら? ◦ 同期するパスキーであっても、パスワードマネージャーが使えないブラウザーや同期でき ないOSの場合には、パスキーにアクセスできないことがある ◦ パスキー以外の認証方法やアカウントリカバリーを用意しておく必要がある • …etc 13
 推しの章 or 節はどこですか?その理由は?

  14. コラム全般!

  15. #iddance #パスキーのすべて コラム全般! • NIST SP 800-63について、細かいことの解説はあっても、ざっ くりどういうものかを説明したものは少ない? • パスキーと生体認証の違いなど、よく聞かれる質問に回答

    • 「なぜ」当初ノンディスカバブルだったのかも、あまり知られてい ない 15
 推しの章 or 節はどこですか?その理由は?

  16. #iddance #パスキーのすべて 16
 推しの章 or 節はどこですか?その理由は? ちょっとしたネタを仕込んでありましたが、気づいた方いますか? (19ページ:公開鍵暗号をざっくりと理解する)

  17. 本に書きたかったけど 書けなかったネタはありますか?

  18. ケーススタディ

  19. #iddance #パスキーのすべて ケーススタディ • 既存実装を紹介 • 実装ごとの特徴や工夫 19
 本に書きたかったけど書けなかったネタはありますか?

  20. 端末・アカウント共有の解決策

  21. #iddance #パスキーのすべて 端末・アカウント共有の解決策 • 共有端末におけるアカウントやパスワードの共有の課題 ◦ 業務における共有端末 ◦ 家庭で共有するパソコンやタブレット •

    端末は個人で所有するもの、PINや生体認証も個人のものが 設定される前提 • パスワードをパスキーに置き換える際に、アカウントの共有から 個人アカウントの管理への移行があるべき姿 21
 本に書きたかったけど書けなかったネタはありますか?

  22. セッション管理

  23. #iddance #パスキーのすべて セッション管理 • ブラウザ拡張機能からセッションクッキーが漏れるかもしれない • ユーザが偽のブラウザアプリをインストールしているかもしれない 入口のセキュリティをどれだけ強化しても、 セッション管理がザルでは意味がない •

    けど、「パスキー」本で扱うべき内容でもなく。 23
 本に書きたかったけど書けなかったネタはありますか?

  24. #iddance #パスキーのすべて 24
 本に書きたかったけど書けなかったネタはありますか? もう一つ:パスキープロバイダは、誰でも作れる! 自社ブログで発表しているので よかったら見てみてください。

  25. パスキーをより使ってもらうためには 何が必要ですか?

  26. 同期環境の改善と RP実装の成熟

  27. #iddance #パスキーのすべて 同期環境の改善と RP実装の成熟 • まだプラットフォームによるパスキーの同期環境は快適とは言えない • RPは同期しないパスキーの場合、それと分かるようにできる • パスキーがない場合の対応策を用意することで、安心して利用できる

    27
 パスキーをより使ってもらうためには何が必要ですか?

  28. リスクと強制の天秤の見極め

  29. #iddance #パスキーのすべて リスクと強制の天秤の見極め • フィッシング攻撃リスクのアセスメント • まずは強制せずにパスキーを訴求 • パスキーが利用できる環境と利用状況の把握 •

    フィッシング攻撃リスクとパスキー強制による離脱リスクを比較 • 攻撃リスクを許容できる場合には、パスキーが成熟するまで待ってからパ スキーを強制する • 許容できない場合には、経営判断としてパスキーを強制する • 強制と同時に、アカウントリカバリーや復旧のワークフローを拡充させてお く 29
 パスキーをより使ってもらうためには何が必要ですか?

  30. プラットフォーム・ OSの改善により、 パスキーがより使いやすくなれば、 自ずと普及していくはず・・・

  31. #iddance #パスキーのすべて より使いやすくなれば、自ずと普及していくはず・・ • オートフィルでのログインや、ログイン後の自動作成 • パスワードマネージャも、気づいたらOS標準のものを 使っていたという人が多いのでは? • 既存のサービスがセキュリティ対策のためにパスキーを入れ

    ると、どうしてもUXが落ちてしまい、不満になる • 全く新しいサービスが当初からパスキー前提になっていれば、 受け入れられやすいかもしれない 31
 パスキーをより使ってもらうためには何が必要ですか?

  32. #iddance #パスキーのすべて 32
 パスキーをより使ってもらうためには何が必要ですか? もしくは、パスワードマネージャ「しか」使えない ログイン画面を作って、パスワードマネージャに慣れてもらう

  33. 33
 パスキーのすべて 導入・UX設計・実装 の紹介 書店・オンラインストアにて絶賛発売中 よろしくお願いいたします

  34. #iddance #パスキーのすべて 34
 ritouからの告知 書籍を手に取っていただいた開発者を対 象として、認証技術の有識者も参加する場 で書籍の内容とパスキー技術についての 理解を深めてもらうことを目的としていま す。 第1章は

    2025/4/25 開催予定!! パスキーのすべて 輪読会やりましょう

  35. EOP 35