米国時間2024年4月22日に、米国立標準技術研究所(NIST)が、米国の連邦政府機関のシステム向けとしての電子的な本人確認に係るデジタルアイデンティティガイドラインであるNIST SP 800-63第3版での、当人認証とその保証レベルについてのパートB(NIST SP 800-63B-3)用の補足文書(原文では「サプリメント」)を公表した[1]。 この補足文書は、複数の端末に同期して安全かつ便利な認証に使える(同期)パスキーといった「同期可能な認証器」(“syncable authenticator”)を、NIST SP 800-63B-3に取り込むためとされている。 これまでのNIST SP 800-63B-3では、「多要素暗号ソフトウェア認証器は秘密鍵を複数の端末に複製することを非推奨とするのが望ましく(SHOULD)、かつ行わないこと(SHALL NOT)」と規定されていたため、秘
はじめに お久しぶりです、マネーフォワード ID 開発チームの @nov です。 毎年のようにパスキーまわりの新機能が発表される WWDC の季節も近づいてきた今日この頃、パスキー愛好家の皆様はいかがお過ごしでしょうか? 今年の4月には、iOS 18.4 がリリースされ、ついに ASWebAuthenticationSession で Passkey Autofill が動かないバグ も修正され、iOS Native App でのパスキー利用率が一気に改善されました。 WWDC 前に、その辺りの影響も含めて、マネーフォワード ID でのパスキー利用状況についてまとめておきます。 パスキー登録状況 @ 2025 May. では、恒例の数字を見ていきましょう。 2025年5月現在、マネーフォワード ID には全部で約 1,800,000 個のパスキーが登録されています。 Vol.3 時点では
みんなパスキーに期待しすぎている。MIXI伊東氏に聞く「認証のゴール地点」の考え方 2025年3月13日 株式会社MIXI 開発本部/OIDF-J エバンジェリスト 伊東 諒(@ritou) 2011年ミクシィ(現:MIXI)入社。MIXI Mという基盤システム&WALLETサービス、MIXI IDというMIXI社内のサービス間で利用できる共通アカウントの開発を担当している猫。OpenID ConnectやOAuth 2.0、パスキーといった標準化仕様について社内外での情報発信にも積極的に取り組んでいる。 X(@ritou) パスワードレス認証の代名詞として普及が進むパスキー。2022年の登場から数年、世間的な認知度も向上し、オンラインサービスのユーザー認証の仕様を検討するうえでは避けて通れない存在となりつつあります。 株式会社MIXIの伊東 諒さんは、日本でパスキーの推進を積極的に行う一
ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話ししてきました。 大学ICT推進協議会2024年度年次大会 OpenIDファウンデーション・ジャパン エバンジェリストを名乗ってOpenID Connectの話ではなくパスキーの話をしました。最近よくありますね。 今回はユーザー向けの「パスキーの啓蒙」もとい「安全なユーザー認証の啓蒙」について考えていたことをお話させていただきました。 その資料をベースに色々付け足したら長編になってしまいました。お時間がある方
パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。 サービス側 企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザーの責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない。 ユーザー側 パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける機
ritou です。 パスキーに関するTips始めました 今回の内容 Apple, Google, Microsoftがパスキーパスキー言い出した時、FIDOアライアンスがこんな動画を出していました。みたことある方もいらっしゃるかもしれません。 この後半で、Android端末のパスキーを用いてWindows PCのブラウザでサービスにログインして、その直後にWindows Helloでもパスキーを登録するっていう流れが説明されています。 同じように、Android端末のパスキーを用いてMacOSのSafariでサービスにログインして、その直後にiCloud Keychainでもパスキーを登録するっていう流れも説明されています。 今でこそ1Passwordとかでクロスプラットフォームのパスキー利用が実現できそうなものの、最初の頃の「え?プラットフォームを超えた同期はできないの?そりゃそうか」と
September 9, 2024 Passwords have problems, but passkeys have more We had originally planned to go all-in on passkeys for ONCE/Campfire, and we built the early authentication system entirely around that. It was not a simple setup! Handling passkeys properly is surprisingly complicated on the backend, but we got it done. Unfortunately, the user experience kinda sucked, so we ended up ripping it all
概要 近年、デジタル社会の急速な進展に伴い、オンラインでの本人確認や認証の重要性が高まっています。この度、米国国立標準技術研究所(NIST)が、デジタルアイデンティティに関するガイドライン「SP 800-63-4」の更新案(2nd Public Draft)を発表しました。この更新は、セキュリティの強化と、誰もが公平にデジタルサービスにアクセスできる環境の整備を目指しています。 今回の更新の特筆すべき点は、最新のデジタル技術への対応です。例えば、「同期可能な認証器」(パスキー)や「ユーザー管理型ウォレット」といった新しい概念が導入されています。パスキーは従来のパスワードよりも高度なセキュリティを提供し、ユーザー管理型ウォレットは各種デジタル証明書を安全に保管することができます。 一方で、NISTは従来の本人確認方法も重視しています。スマートフォンを持たない人や、デジタル証明書を持たない人々
このブラウザ バージョンのサポートは終了しました。サポートされているブラウザにアップグレードしてください。
近年、多要素認証(MFA)の普及が進む中、ユーザーの利便性とセキュリティのバランスを取ることが課題となっています。MFAとは、パスワードに加え、生体認証やワンタイムパスワードなど複数の認証方式を組み合わせることで、アカウントへの不正アクセスを防ぐセキュリティ手法です。しかし、MFAの導入はユーザーにとって面倒な手順が増えることを意味します。この課題を解決するために登場したのが、Syncable Authenticator(同期可能認証器)、別名Passkey(パスキー)と呼ばれる新しい認証技術です。 同期可能認証器は、認証に用いる秘密鍵を複数のデバイス間で同期できるようにすることで、ユーザーはどのデバイスでも同じ認証情報を使えるようになります。これにより利便性が大幅に向上します。一方で、秘密鍵を複数の端末で共有することはセキュリティ上のリスクを伴います。そこで、米国国立標準技術研究所(NI
ritouです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023 シリーズ2の記事です。 qiita.com パスキー管理についてのお話です。 現状 プラットフォーム、OS、ブラウザ、パスワードマネージャーアプリ、アプリケーション全てのレイヤーで一気に対応が進められているパスキーですが、意識を高めて使っていこうと思った時の悩みとして、 どうやってパスキーを管理していくのが安全で便利なんだろう というのがあります。 Apple, Google, MSがパスキーやっていきな声明を出した頃、世の中のほとんどの人がサービス毎に一つだけ パスキーを登録(作成)すればクロスプラットフォームで使えるんや!最高だな!となり、その後の状況を知るとサクッと絶望した人もいるでしょう。世の中そんなものです。 この記事では、よく言われている管理方法と
How Hype Will Turn Your Security Key Into Junk In the last few months there has been a lot of hype about "passkeys" and how they are going to change authentication forever. But that hype will come at a cost. Obsession with passkeys are about to turn your security keys (yubikeys, feitian, nitrokeys, ...) into obsolete and useless junk. It all comes down to one thing - resident keys. What is a Resid
This page, along with the rest of passkeys.dev, is targeted at relying party developers and is not intended to be an end user facing resource. Said differently, please don’t link to this page from end user focused resources 😉 Matrix This matrix represents the default capabilities for a user out of the box. Additional capabilities may be available when a user installs a different passkey provider.
はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。 この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く