Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
パスキー導入の課題と ベストプラクティス、今後の展望
Search
ritou
March 24, 2025
Technology
8
1.5k
パスキー導入の課題と ベストプラクティス、今後の展望
下記イベントでの発表資料です。
https://findy.connpass.com/event/346075/
ritou
March 24, 2025
Tweet
Share
More Decks by ritou
See All by ritou
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
ritou
1
470
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
ritou
0
81
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
ritou
4
1.6k
OIDF-J EIWG 振り返り
ritou
2
42
そのQRコード、安全ですか? / Cross Device Flow
ritou
4
470
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
ritou
3
580
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
ritou
2
780
Webアプリ開発者向け パスキー対応の始め方
ritou
4
6.3k
様々なユースケースに利用できる "パスキー" の 導入事例の紹介とUXの課題解説 @ DroidKaigi 2023
ritou
3
4.9k
Other Decks in Technology
See All in Technology
AIと開発者の共創: エージェント時代におけるAIフレンドリーなDevOpsの実践
bicstone
1
250
DuckDB MCPサーバーを使ってAWSコストを分析させてみた / AWS cost analysis with DuckDB MCP server
masahirokawahara
0
1k
LLM とプロンプトエンジニアリング/チューターをビルドする / LLM, Prompt Engineering and Building Tutors
ks91
PRO
1
220
ゆるくVPC Latticeについてまとめてみたら、意外と奥深い件
masakiokuda
2
230
Langchain4j y Ollama - Integrando LLMs con programas Java @ Commit Conf 2025
deors
1
130
AIエージェント開発における「攻めの品質改善」と「守りの品質保証」 / 2024.04.09 GPU UNITE 新年会 2025
smiyawaki0820
0
410
はじめてのSDET / My first challenge as a SDET
bun913
1
210
YOLOv10~v12
tenten0727
3
880
Would you THINK such a demonstration interesting ?
shumpei3
1
160
MCPを活用した検索システムの作り方/How to implement search systems with MCP #catalks
quiver
10
4.5k
Spring Bootで実装とインフラをこれでもかと分離するための試み
shintanimoto
6
560
Cursor AgentによるパーソナルAIアシスタント育成入門―業務のプロンプト化・MCPの活用
os1ma
11
3.6k
Featured
See All Featured
Making Projects Easy
brettharned
116
6.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
How STYLIGHT went responsive
nonsquared
99
5.5k
GraphQLとの向き合い方2022年版
quramy
46
14k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Code Reviewing Like a Champion
maltzj
522
39k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Documentation Writing (for coders)
carmenintech
69
4.7k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.8k
Code Review Best Practice
trishagee
67
18k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.8k
Transcript
パスキー導 入 の課題と ベストプラクティス、今後の展望 @ritou 2025/3/25 12:00-13:00 online
内容 • パスキー認証登場までの経緯 • パスキー認証の導 入 パターンと検討事項 • パスキー認証を導 入
した先にある世界 2
※今回触れない技術的な話についてもカバーしている書籍です。 私もレビューしました。 3
パスキー認証登場までの経緯 4
パスワード認証のユーザー側の要件に対する現状 • 推測困難なパスワード • 推測可能なパスワードを利 用 • サービス毎に異なるパスワードを記憶 • 使い回す
-> パスワードリスト攻撃 • 別々にすると忘れる -> リセットの 手 間、サービス側のコスト • 正規のサービスのみに 入力 • フィッシングサイトの判断は困難 パスワード認証 5
パスワード認証のサービス側の要件に対する現状 • 推測困難なパスワードを受け 入 れる • 利 用 可能な 文
字種や最 大文 字数の制限 • パスワードを適切に管理する • 復元可能な状態での保存、漏洩 • 各種攻撃への対策 • フィッシング、ブルートフォース、パスワードリスト/スプレー等 パスワード認証 6
異なる認証要素を 用 いる認証 方 式の 足 し算 →多要素認証 OTP/認証アプリ セキュリティキー
or 別の認証要素を利 用 する認証 方 式を追加して パスワード認証突破時のハードルを設ける パスワード認証 + ←知識情報の利 用 ←所持情報の利 用 7
多要素認証からパスワード認証を引き算 →シンプルなパスワードレス認証 SMS OTP Email OTP/マジックリンク or パスワード認証 + ←課題のある認証
方 式を 使わない ❌ メールアドレスや電話番号など 識別 子 を含む 方 式でシンプルなパスワードレス認証を実現 8
多要素だけじゃダメですか? • 多要素認証で使われている 方 式 • メール, SMS OTP •
TOTP • 認証アプリ • セキュリティキー 9
多様化するフィッシング攻撃 • リアルタイム/中継型と呼ばれるフィッシング攻撃 • 偽サイトに 入力 された値を正規のサービスに送り、最終的 にログインセッションを奪う 10
認証 方 式におけるフィッシング耐性 →システムによる判定 • パスワードマネージャーの 自 動 入力 機能
• 登録時のドメイン 比 較して 自 動 入力 を判定 • 判定ロジックはパスワードマネージャー依存 • 動作しない時に 手 動 入力 が可能 • ユーザーに利 用 を強制できない 11
クレデンシャルの漏洩リスク • 登録/ログインのクレデンシャル 入力 時、通信経路: パスワー ド、OTP、TOTP • デバイス、サービスから漏洩: パスワード、TOTP
Secret 12
FIDO認証 (FIDO2) • パスワード認証の課題を解決することにフォーカス • 公開鍵暗号 方 式の利 用 •
端末のセキュアな領域にクレデンシャルを保存 • ブラウザの仲介によるフィッシング耐性 • デバイスのローカル認証と組み合わせて多要素認証を実現 13
FIDO認証の特徴 14
FIDO認証と公開鍵暗号 • デジタル署名の 生 成、検証の仕組みを利 用 • サービス側からのクレデンシャル漏洩リスクの軽減 • サービスから指定されたチャレンジの値を含むことでデジ
タル署名の使い回しを困難に • フィッシング耐性とは無関係 15
FIDO認証のフィッシング耐性 • パスワードマネージャーの進化形 • サービスが指定したオリジンとの 比 較による対象判定 • 判定ロジックは標準化されたもの •
動作しない時、 手 動 入力 は困難 • ユーザーに利 用 を強制できる 16
セキュリティキー • 多要素認証のための追加認証の 方 式(所持情報)として登場 • PINなどのユーザー検証と組み合わせると単体で利 用 可能 •
コンシューマ向けの課題 • 有料で購 入 する必要がある • 保存できるクレデンシャルの数に限界がある 17
プラットフォーム認証器 • スマートフォンのセキュア領域にクレデンシャルを保存 • セキュリティキーよりも多数保存可能 • 端末紛失、機種変更時に全てのサービスに削除、再設定の 手 間が発 生
• 使い慣れた画 面 ロック解除と組み合わせて多要素認証を実現 • PIN、パターンロック、 生 体認証(顔、指紋) 18
パスキー認証 • パスワードマネージャーにクレデンシャルを保存し、複数端 末での同期を許容 • 秘密鍵の管理という観点でセキュリティ低下 • 端末紛失、機種変更時の 手 間を改善して実
用 的に • プラットフォーム謹製、およびサードパーティーなパスワー ドマネージャーが利 用 可能 19
FIDO認証からパスキー認証へ 20
ユーザー認証の変遷 21 パスワード認証 多要素認証 FIDO認証 シンプルな パスワードレス認証 パスキー認証 別の認証要素 を
足 し算 パスワード認証 を引き算 パスワードマネージャー の管理による利便性向上 公開鍵暗号 方 式の利 用 と フィッシング耐性 セキュリティキー +ユーザー検証 パスワードレス認証
パスキー認証の 導 入 パターンと検討事項 22
パスキー認証導 入 のモチベーション • サービス全体、もしくは特定機能を利 用 するユーザーの利便 性と安全性を 高 めたい
• より便利で安全な認証 方 式を利 用 可能にしたい • 多要素認証によるSMS送信料などのコストを削減したい 23
パスキー認証の導 入 パターン • 既存の認証 方 式にパスキー認証を追加 • パスキー認証の必須化 24
既存の認証 方 式にパスキー認証を追加 • 任意でパスキー認証を利 用 可能にする • よく利 用
する端末では便利にログインできる 25
導 入 のステップ 1. パスキー管理機能 2. ログインフロー 3. パスキーの利 用
促進 26
導 入 にあたっての検討事項 • 既存のログインフローとの関係 • 既存の認証 方 式に影響を抑えつつ導 入
• パスキー認証を優先 27
既存の認証 方 式への影響を抑えつつ導 入 • Passkey Auto fi llを利 用
して“使えるユーザーに使ってもらう” • ログインフォームの 自 動 入力 の対象にパスキーを追加 • ソーシャルログインのボタンに”パスキーでログイン”を追加 • エラー発 生 時のケアが重要 28
パスキーを優先 • Identi fi er-Firstパターンのロジック変更 • メールアドレスやSMS番号、ユーザーIDを先に 入力 させ、 パスキーが登録済みならパスキー認証を要求
• 登録済みパスキーがそこで使えるかは不明 29
パスキーの必須化 • あるユーザー、ある機能に対してパスキー認証を強制する • 対象ユーザー:全員 or ある条件を満たす場合 • 対象機能:サービスのログイン or
特定機能の利 用 時 • 法制度、業界ガイドライン、外部サービス利 用 のためのシス テム要件、不正ログインによる実害に伴う要件など 30
導 入 のステップ 1. パスキー管理機能 2. 対象ユーザー、対象機能の場合にパスキー認証を要求 • 登録済みならば認証要求 •
未登録ならば登録フローへ 31
パスキー認証の必須化の難しさ • パスキー認証の強制 自 体が難しいわけではなく、”どうし ても利 用 できないユーザー”を適切にケアできるかが重要 • 初めて利
用 する環境、既存のパスキーが同期されていな い環境 • 非 対応環境 32
パスキー同期の理想と現実 • ここまではいけそう • 単 一 パスワードマネージャーのパスキーをクロスプラット フォームで同期 -> 選択肢が増える
• パスキーのお引越し(インポート、エクスポート) ≠同期 • これは難しそう • プラットフォームアカウント同 士 のパスキー同期 33
初めて利 用 する環境、既存のパスキーが 同期されていない環境 • Webアプリを提供していれば 比 較的簡単に直 面 する状況
• パスキー認証が必須の場合 • ヘルプなどでHybrid Transportを補 足 して使ってもらう • 別の仕組みでクロスデバイスを実現 • パスキー認証が任意の場合 • 上記に加え、既存の認証 方 式へのフォールバック 34
非 対応環境 • 様々なデバイスにブラウザが載っている現状において、 非 対 応環境は0にはならない • パスキー認証が必須の場合: 諦めるしかない?
• 別の仕組みでクロスデバイスを実現 • パスキー認証が任意の場合 • 上記に加え、既存の認証 方 式へのフォールバック 35
パスキー管理機能 • サービスの内容が様々でも、パスキー管理機能のUXは汎 用 的なものが適 用 可能 • GoogleやFIDOアライアンスのUXガイドラインが参考に できる
• パスキーについての説明、パスキーカード(登録済みの情 報表 示 )、ダイアログや確認フォーム 36
パスキー認証と 一 緒に提供したい機能 • ログインセッション管理機能 • 環境、認証 方 式の情報と合わせて管理 •
現時点で第3者にログインされていないことを確認 • 認証強度による追加認証要求などのハンドリングに利 用 可能 37
パスキー認証と 一 緒に提供したい機能 • セキュリティイベントログの 生 成と確認機能 • ログイン/ログアウト、パスキー関連操作をログに残す •
何があったのかを後から確認可能 • 自 サービス内部だけではなく、連携サービスに送る仕組 みも標準化されている 38
パスキー認証導 入 の先にある世界 39
パスキー認証=理想のユーザー認証? • これまではパスワード認証の課題にフォーカスしていた • 今後はパスキー認証の課題にフォーカスする必要性がある • パスキー同期の限界、 非 対応環境、アカウントリカバリー •
パスキー認証に対する脅威 40
パスキー認証における脅威 • デバイスへの物理アクセス • 物理的にスマートフォンを奪われる + ローカル認証突破 • 同 一
環境にいる 人 物によるローカル認証突破 • 正規のエクスポート機能を 用 いたパスキー情報吸い出し • Hybrid Transport+ソーシャルエンジニアリング攻撃による ログインセッション取得 41
仮定: SNSがパスキー認証に対応 1. 攻撃者:パスキー認証のHybrid Transport 用 QR表 示 2. ターゲット:QR読み込み、パスキー認証成功
3. 攻撃者:ログインセッション取得成功 [悪 用 厳禁] Hybrid Transportの悪 用 42 フォローで プレゼント!
パスキー導 入 の先にある世界 • ユーザー認証については今後も脅威と対策の繰り返し • サービスを安全、便利に利 用 してもらうためには 身
元確認、 ID連携などと合わせて考える必要がある • マイナンバーカードの活 用 • デジタル認証アプリ(OIDC) • Digital Identity Wallet 43
終わり 質問どうぞ! 44