前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroid...

2023/09/06 に行われた OCHaCafe Season7 #4 で用いた資料です。 セッションアーカイブ動画：https://youtu.be/p3VmoPKrBNs

Basic認証、Digest認証、Bearer認証、OAuth認証方式はRFCで標準化されている認証方式の中で最もよく目にする方式だろう。 Basic認証とDigest認証は多くのサーバ、クライントで実装されており導入障壁が低い認証方式だ。 機密性の高いデータを扱うサービスでは比較的安全なBearer認証、OAuth認…

1,603字 · 1枚の画像

ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19日 よくある誤解 最近、公…

1,603字 · 1枚の画像

モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。

　多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか？ 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使...

福岡県内のみならず九州一円、さらに全国から移住者が集まり、人口増加を続ける福岡市。場所を選ばない働き方が決して珍しい形態ではなくなった今、フルリモートで働きながら、住む場所として福岡市を選ぶ移住者も増えている。 2021年にアメリカから福岡市へと移住した嶋直毅

パスワードレスなユーザー認証時代を迎えるためにサービス開発者がしなければならないこと - builderscon tokyo 2018 builderscon tokyo 2018にて発表したスライドです。 https://builderscon.io/tokyo/2018/session/9f…

ritou です。 大きなサービスで何か問題があると、それをきっかけに皆さんのセキュリティ意識が高まりかけたりするものです。 最近はパスワードマネージャーやパスキーについて言及する人も増えてきました。 表題の通り、パスワードマネージャーをお勧めしますという話を書きます。新しい話ではなく、いつもの内容です。 パスワード認…

2024年6月21日にデジタル庁からデジタル認証アプリの発表がありました。このデジタル認証アプリで何ができるのか、ざっくり整理してみました。この記事で対象としている方デジタル認証アプリの概要に…

PWA Night vol.57 ～認証・認可〜 にてパスキーの話をしました。 資料と発表内容を公開します。

認証・認可はわかりづらい最近認証・認可について調べることがあり、名前とどんなものかはざっくりと知っている状態でした。ただ、誰かに説明して、と言われると自信がないのでまとめてみようと思いました。…

マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応，全容がわ…

4,191字

はじめに GS2-Account はアカウント管理をするためのマイクロサービスで、匿名アカウントの発行や認証機能を持ちます。 匿名アカウントの引き継ぎ情報の管理機能も用意されています。OpenID Connect とは Twitter が提唱した OAuth を標準化した技術で、認可処理にかかわるフローを標準化していま…

おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超えるものではありません。 ちょっとだけ長いですが、…

2,140字

Niigata 5分 Tech #6で話しました https://niigata-5min-tech.connpass.com/event/312817/

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認…

Twilioは、多要素認証ツール「Authy」のユーザーの多数の電話番号が流出したと発表した。ユーザーにアプリの最新版への更新を呼び掛けている。

先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。

ritou です。概要以前、 WebAuthn の流れで、アカウントリカバリーについて書きました。WebAuthn など新しい認証方式を受け入れる際の「アカウントリカバリー」の考え方上記の投…

おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のた…

世界一わかりみの深いOAuth入門

ritou です。今回は RFC 8725 JSON Web Token Best Current Practices を紹介します。みんな大好き JWT (JSON Web Token) の …

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワード側からも解説…

パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します

おはようございます 自称パスキー👮‍♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは１つ目です。 機種変…

おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のた…

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典…

おはようございます、ritouです。 今回はTransactional AuthorizationとしてIETFにDraftが提出されている仕様に注目します。 draft-richer-transactional-authz-02 - Transactional Authorization ⚠これはOAuth 2.0の…

IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。今回は、簡単にOAuth2.1…

MIXI Mという認証から決済までをワンストップで提供できる基盤システム & WALLETサービスがあります。その中の認証基盤について、社内外のサービスにも展開していくにあたっての要件、それに対する設計方針と実装した内容を紹介します。

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートを…

はじめに最近パスキー(Passkeys)が話題です。2023年は「パスキーの年」--FIDOアライアンスが報告 - ZDNET Japanそして、Keycloakもサポートしています。今日は…

tokenを保存する場所localStoragecookiecookie (http only)メモリ内 (変数)よく言われるのが JWT tokenをlocalStorageに入れるべ…

下記カンファレンスでの発表資料です。 https://builderscon.io/builderscon/tokyo/2019/session/c9da9bfb-c97c-4f93-a496-ff83b3ca61bc

すみません、これじゃダメでした以下、コメント欄抜粋です元記事のコメントでも指摘されていますが、XSSによるJavaScriptから、LocalStorageの値を取得した上で、XMLHttpRe…

本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2023 の11日目の記事です。最近、パスキーのことばかり考えていましたが、その中だったり、…

QRコードを使ってログインすることが日々増えてきています。でも、それって安全なんでしょうか？複数のデバイスをまたがった認証認可には落とし穴がたくさんあり、IETFでもベストプラクティスドキュメントの作成が遅々として行われている状態です。そこで、今回はこのあたりにお詳しい秋田の猫ことritouさんにお越しいただき、...

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watc…

これは、豆蔵デベロッパーサイトアドベントカレンダー2022第8日目の記事です。JSON Web Token(JWT)の単語を目にすることがよくあると思いますが、それと一緒に認証と認可や、RSAの署名や暗号化、そしてOpenIDConnectやOAuth2.0までと難しそうな用語とセットで説明されることも多いため、JWTって難しいなぁと思われがちです...