Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
Search
ritou
April 16, 2025
Technology
2
2.1k
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
下記イベントの発表資料です。
https://offers-jp.connpass.com/event/346624/
ritou
April 16, 2025
Tweet
Share
More Decks by ritou
See All by ritou
パスキー導入の課題と ベストプラクティス、今後の展望
ritou
12
4.3k
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
ritou
1
95
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
ritou
4
1.7k
OIDF-J EIWG 振り返り
ritou
2
53
そのQRコード、安全ですか? / Cross Device Flow
ritou
4
540
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
ritou
3
630
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
ritou
2
820
Webアプリ開発者向け パスキー対応の始め方
ritou
4
6.5k
様々なユースケースに利用できる "パスキー" の 導入事例の紹介とUXの課題解説 @ DroidKaigi 2023
ritou
3
5k
Other Decks in Technology
See All in Technology
AWS テクニカルサポートとエンドカスタマーの中間地点から見えるより良いサポートの活用方法
kazzpapa3
2
600
「良さそう」と「とても良い」の間には 「良さそうだがホンマか」がたくさんある / 2025.07.01 LLM品質Night
smiyawaki0820
1
430
CursorによるPMO業務の代替 / Automating PMO Tasks with Cursor
motoyoshi_kakaku
2
790
PHPでWebブラウザのレンダリングエンジンを実装する
dip_tech
PRO
0
220
AI専用のリンターを作る #yumemi_patch
bengo4com
4
1.9k
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
240
Lambda Web Adapterについて自分なりに理解してみた
smt7174
5
140
FOSS4G 2025 KANSAI QGISで点群データをいろいろしてみた
kou_kita
0
210
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
shigeruoda
5
590
Claude Code Actionを使ったコード品質改善の取り組み
potix2
PRO
6
2.6k
SpringBoot x TestContainerで実現するポータブル自動結合テスト
demaecan
0
120
Understanding_Thread_Tuning_for_Inference_Servers_of_Deep_Models.pdf
lycorptech_jp
PRO
0
150
Featured
See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
YesSQL, Process and Tooling at Scale
rocio
173
14k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
The Invisible Side of Design
smashingmag
300
51k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
Automating Front-end Workflow
addyosmani
1370
200k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Bash Introduction
62gerente
614
210k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
124
52k
Testing 201, or: Great Expectations
jmmastey
42
7.6k
Typedesign – Prime Four
hannesfritz
42
2.7k
Adopting Sorbet at Scale
ufuk
77
9.4k
Transcript
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係 @ritou 2025/4/17 #O ff ers_DeepDive
このお話のGOAL: ユーザー認証 方 式の関係を理解する 2
• NIST SP 800-63など各種ガイドラインでは当 人 認証(Authentication)と 表現されることが多い • サービスに登録している対象ユーザーを識別、クレデンシャルを検証す ることで当
人 性を確認すること ユーザー認証とは? 3
①パスワード認証 4
• 準備 • ユーザーがパスワードを覚えておく • サービスはパスワード(のハッシュ値など)を保存 • 認証 • メールアドレスや電話番号、ユーザーIDとパスワードをフォームに
入力 して送信 • 同時に検証 or 識別後にパスワードの検証 • 特徴 • 特定のデバイスを必要としない パスワード認証 5
パスワード認証のユーザー側の要件に対する現状 • 推測困難なパスワードの利 用 • 推測可能なパスワードを利 用 • サービス毎に異なるパスワードを記憶 •
使い回す -> パスワードリスト攻撃 • 別々にすると忘れる -> リセットの 手 間、サービス側のコスト • 正規のサービスのみに 入力 • フィッシングサイトの判断は困難 パスワード認証 6
パスワード認証のサービス側の要件に対する現状 • 推測困難なパスワードを受け 入 れる • 利 用 可能な 文
字種や最 大文 字数の制限 • パスワードを適切に管理する • 復元可能な状態での保存、漏洩 • 各種攻撃への対策 • フィッシング、ブルートフォース、パスワードリスト/スプレー等 パスワード認証 7
②多要素認証とパスワードレス認証 8
• 攻撃対象は 大手 サービスから中 小 規模のサービスまで • 大手 サービスでなければ価値がないわけではない •
ユーザー識別 子 とパスワードのリストの精査 • 短期的な対策(=応急処置)としての追加認証 • 登録済みのメールアドレスや電話番号へのOTP送信 • ソフトウェアTOTP • 認証アプリ パスワード認証への攻撃が激化 9
異なる認証要素を 用 いる認証 方 式の 足 し算 →多要素認証 OTP/TOTP/認証アプリ セキュリティキー
or 別の認証要素を利 用 する認証 方 式を追加して パスワード認証突破時のハードルを設ける パスワード認証 + ←知識情報の利 用 ←所持情報の利 用 10
多要素認証からパスワード認証を引き算 →シンプルなパスワードレス認証 SMS OTP Email OTP/マジックリンク or パスワード認証 + ←課題があるなら
最初から使わない ❌ メールアドレスや電話番号など 識別 子 を含む 方 式でシンプルなパスワードレス認証を実現 11
多要素だけじゃダメですか? • 多要素認証で使われている 方 式 • メール, SMS OTP •
TOTP • 認証アプリ • セキュリティキー 12
多様化するフィッシング攻撃 • リアルタイム/中継型と呼ばれるフィッシング攻撃 • 偽サイトに 入力 された値を正規のサービスに送り、最終的 にログインセッションを奪う 13
認証 方 式におけるフィッシング耐性 →システムによる判定 • パスワードマネージャーの 自 動 入力 機能
• 登録時のドメイン 比 較して 自 動 入力 を判定 • 判定ロジックはパスワードマネージャー依存 • 動作しない時に 手 動 入力 が可能 • ユーザーに利 用 を強制できない 14
クレデンシャルの漏洩リスク • 登録/ログインのクレデンシャル 入力 時、通信経路: パスワー ド、OTP、TOTP • デバイス、サービスから漏洩: パスワード、TOTP
Secret 15
④FIDO認証 16
FIDO認証 • パスワード認証の課題を解決することにフォーカス • 公開鍵暗号 方 式の利 用 • 端末のセキュアな領域にクレデンシャルを保存
• ブラウザの仲介によるフィッシング耐性 • デバイスのローカル認証と組み合わせて多要素認証を実現 17
FIDO認証と公開鍵暗号 • デジタル署名の 生 成、検証の仕組みを利 用 • サービス側からのクレデンシャル漏洩リスクの軽減 • サービスから指定されたチャレンジの値を含むことでデジ
タル署名の使い回しを困難に • フィッシング耐性とは無関係 18
FIDO認証のフィッシング耐性 • サービスが指定したオリジンとの 比 較による対象判定 • 判定ロジックは標準化されたもの • 動作しない時、 手
動 入力 は困難 • ユーザーに利 用 を強制できる 19
セキュリティキー • 多要素認証のための追加認証の 方 式(所持情報)として登場 • 所有者との紐付けを確認したい場 面 がある •
PINなどのユーザー検証と組み合わせ • コンシューマ向けの課題 • 有料で購 入 する必要がある • 保存できるクレデンシャルの数に限界がある 20
プラットフォーム認証器 • スマートフォンのセキュア領域にクレデンシャルを保存 • セキュリティキーよりも多数保存可能 • 端末紛失、機種変更時に全てのサービスに削除、再設定の 手 間が発 生
• 使い慣れた画 面 ロック解除と組み合わせて多要素認証を実現 • PIN、パターンロック、 生 体認証(顔、指紋) 21
④パスキー認証 22
パスキー認証 • パスワードマネージャーにクレデンシャルを保存し、複数端 末での同期を許容 • 秘密鍵の管理という観点でセキュリティ低下 • 端末紛失、機種変更時の 手 間を改善して実
用 的に • プラットフォーム謹製、およびサードパーティーなパスワー ドマネージャーが利 用 可能 23
FIDO認証からパスキー認証へ 24
パスキー認証=理想のユーザー認証? • これまではパスワード認証の課題にフォーカスしていた • 今後はパスキー認証の課題にフォーカスする必要性がある • このあたりの説明はAuth屋さんにお任せ 25
ユーザー認証 方 式の関係 26 パスワード認証 多要素認証 FIDO認証 シンプルな パスワードレス認証 パスキー認証
別の認証要素 を 足 し算 パスワード認証 を引き算 パスワードマネージャー の管理による利便性向上 公開鍵暗号 方 式の利 用 と フィッシング耐性 セキュリティキー +ユーザー検証 パスワードレス認証
まとめ • 認証 方 式の変遷は脅威と対策の繰り返しによるもの • 足 し算(多要素認証)、引き算(シンプルなパスワードレス) • 認証要素
+ フィッシング耐性 • サービスを安全、便利に利 用 してもらうためには 身 元確認、ID連携な どと合わせて考える必要がある • マイナンバーカード、デジタル認証アプリ(OIDC)、Digital Identity Wallet 27
終わり 28