ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 秋田の猫 (@ritou) 2024年1…

ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。…

ritouです。 マシュマロでSPA+BE構成のWebアプリでOAuthやOIDCしたい！って話をよくいただきます。 最近だと、こんな質問がありました。 OIDCから発行されたトークンの取り扱いについて質問させてください。 SPA +OIDC(認可コードフロー)構成によるWEBアプリ…

ritouです。 X(旧Twitter)が始まったのが2006年3月21日らしいですね。個人的には 認証、ID連携...もはやID管理における全ての闇をXから教わった と言っても過言ではありません。 今回取り上げるのはこの件です。 www.itmedia.co.jp アカウントが乗っ取られた…

ritou です。 本日2024/10/15(火)にパスキー関連でこんな記事が出ていました。 www.macotakara.jp ドラフト仕様として「資格情報交換プロトコル (CXP)」と「資格情報交換フォーマット (CXF)」が公開され、資格情報マネージャー内の資格情報 (パスワード、パ…

ritouです。 この話です。 最近、パスキーどこに保存されてるかわかんない問題ってよく言われるがデバイス側でわからんって話はしょうがないので、サービスはaaguidからざっくり名前引いといて、定期的に登録されてるパスキー一覧つってメールで送ったったら…

ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19…

ritou です。 大きなサービスで何か問題があると、それをきっかけに皆さんのセキュリティ意識が高まりかけたりするものです。 最近はパスワードマネージャーやパスキーについて言及する人も増えてきました。 表題の通り、パスワードマネージャーをお勧めしま…

ritouです。 「宣伝」2024/05/16(木)にOpenID TechNight vol.21 ~ Shared Signal Framework(SSF)+αの勉強会が開かれるようです。 openid.connpass.com そもそもSSFって知ってます？勉強会までにSSFについて少し予習しておきましょう。 SSFについて Tom Sato…

ritou です。 ID連携でメールアドレスをキーにするお話 去年はID連携とメールアドレスの関係の話をしました。ちょっとだけ振り返ります。 zenn.dev この時は、 ソーシャルログイン機能を提供するIdP : Googleとか ソーシャルログイン機能を利用するRP : Goog…

こんばんは ritouです。 Firefix の Passkey Autofill 対応 MacOSではFirefox 122.0からiCloud Keychainへの保存と利用が可能になったようです。 www.mozilla.org Firefox now supports creating and using passkeys stored in the iCloud Keychain on macOS…

ritouです。 あることがきっかけで、これが気になりました。 10年間で熟成されてしまった感のある「OIDCはOAuth 2.0を"認証もできる(認証用途に利用できる)ように"拡張した」っていう表現だが、プロトコルの解説にあたってもその流れでやられるとモヤるとこ…

ritouです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。 qiita.com パスキー管理についてのお話です。 現状 プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤ…

PWA Night vol.57 ～認証・認可〜 にてパスキーの話をしました。 資料と発表内容を公開します。

ritouです。 Xを日々パトロールをしていると、共有/共用端末(これ正式な用語としてはどっちなん？以下、共有と呼びます。)でのパスキー利用について思いを馳せる人が目につくようになりました。 だいたいの人は 共有端末ではパスキーは使えない！完 という認…

こんばんは、ritou です。 パスキーの記事ばっかり書いてないでたまにはOAuthのことも取り上げましょう。 OAuthのAccess Tokenについて少し復習してみましょう。 OAuthのAccess Token ってJWTじゃないの？ これについては、我らが Auth屋さん がお話しする会…

おはようございます 自称パスキー‍♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、パスキーに関するパトロールをしている中で、メルカリのパスキー導…

こんにちは、ritouです。 今回はクレデンシャル管理の観点からパスワードとパスキーによる認証を整理してみます。これまで何回かTwitterに書いてきたお話です。 背景 最近はだいぶパスキーの説明記事なども出てきていますが、 パスワードとパスキーによる認…

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキー…

おはようございます、ritouです。 何の話？ 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラッ…

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワ…

ritouです。 土曜なのに騒がしいですね。 blog.twitter.com 平日じゃないとID猫おっさんがSlackで活躍できないじゃないですか。その辺考慮お願いします。 gigazine.net gigazineの人はたくさんのTwitterアカウントを持っていることがわかりました。 気を取り…

ritou です。 今年2023年、いよいよパスキーが本格的に利用され始めるとお考えの方もいらっしゃるでしょう。 果たして「パスワード認証に代わりパスキーが使われ、パスワードレスな時代へと突入する」という予想は現実的なのでしょうか？ この記事ではサービ…

ritouです。 "Digital Identity技術勉強会 #iddance Advent Calendar 2022" 13日目の記事です。 qiita.com 現状、Digital Identityを専門とするような開発者がいないような場合に新規サービスを立ち上げようと思ったら、Auth0やFirebase Authenticationのよ…

ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォ…

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があ…

おはようございます。ritouです。 前回の記事に引き続き、FedCM入門です。 ritou.hatenablog.com 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com 明日じゃん。 これに先立って、Federated …

おはようございます、ritouです。 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com ここで取り上げられるFedCMについて、3部作ぐらいで 非公式解説 を書いていきます。 ID連携の課題とFedCM…

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時…

こんばんは、ritouです。 この記事はDigital Identity技術勉強会 #iddance のアドベントカレンダー 初日の記事です。 今年も張り切っていきましょう。 qiita.com さて先日、Internet Week 2021なるもののために GNAP についてお話する機会がございました。 s…