パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
デザイナー/PdMが今知っておきたいパスキーの基礎知識 - #FlattSecurityMagazine
はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。自分はもともとWebやUIのデザインを本職としていましたが、大学の同期と共同創業したセキュリティ企業であるFlatt Securityにて経営やDevRelを担っています。 デザインとセキュリティは普段話題が交わることが少ない領域ですが、UI/UXのデザインであればソフトウェア開発と不可分であることは間違いなく、すなわちデザインもセキュリティに無自覚ではいられないでしょう。 そのような観点で、本記事では「パスキー(Passkey)」を取り上げてみようと思います。 本記事は「パスキー」「FIDO」「WebAuthn」といったキーワードに関して以下のような認識を持っている方向けの記事です。 名前も知らない / 聞いたことがない 聞いたことはあるが、ほとんど理解していない はじめに パスキーをなぜ今知るべきか
「パスキー」って一体何だ? パスワード不要の世界がやってくる
Apple、Google、Microsoftという3大OSベンダーが揃ってサポートを表明している「パスキー(Passkeys)」。パスキーを使うことで、パスワードが不要になり、フィッシングや成りすまし、流出などのセキュリティ問題が一気に解決するほか、パスワードをメモしたり覚えたりする必要がなくなる。果たして、パスキーによってパスワード不要の世界はやってくるのだろうか。 パスキーでログインはこう変わる パスキーとは一体何か? 理屈や背景を説明する前に、デモサイトの「Passkeys.io」にアクセスしてみるのが分かりやすい。パスキーは生体認証とセットの技術なので、指紋認証機能を備えたPCや、指紋/顔認証を備えたiPhone、Androidなどでアクセスしてみよう。
認証自作、 Rails 、 Devise - Diary
認証自作、 Rails 、 Devise https://ockeghem.pageful.app/post/item/uQFX4oRNbnax82V これを読んで思ったことなんですけど、 Ruby On Rails 界隈では「認証は自作すべきではない、デファクトスタンダードの Devise を使うべき」という考え方が一般にあるように思います。 ではその Devise なんですけど、ドキュメントに以下のようにあります。 Starting with Rails? If you are building your first Rails application, we recommend you do not use Devise. Devise requires a good understanding of the Rails Framework. In such cases, we ad
iPhoneでマイナンバーカード読み取り、ログインして行政手続き きょうから
iPhoneにマイナンバーカードをかざして行政手続きを行えるサービスが、11月5日から本格的に始まった。専用アプリをインストールすると、マイナンバー制度のポータルサイト「マイナポータル」の利用者登録やログイン、オンライン申請の電子署名などが行える。 iOS13.1以上をインストールしたiPhone 7以降のモデルで使える。10月21日からマイナンバーカードの読み取り機能を活用した各種行政手続きのオンライン申請に対応していたが、マイナポータルの利用者登録やログインにも対応したことで、ユーザーはiPhoneから自分の個人情報を確認したり、e-Taxを使った確定申告など外部サイトとの連携機能も使えるようになる。 スマートフォンにマイナンバーカードをかざして利用できる一連のサービスは、これまでAndroidスマートフォンのみ対応していた。iPhoneの対応については、米Appleが公開したOSの新
日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ|Guest
OSSTech濱野氏によるブログエントリが話題になっている。曰く、パスポート真正性確認アプリ開発のため、日本の外務省にCSCA証明書(公開鍵)の情報公開請求を行ったところ不開示の決定を受けたという。 外務省の不開示決定旅券冊子の情報暗号化に関する情報であり,公にすることにより,旅券偽造のリスクが上がる等,犯罪の予防及び公共の安全と秩序の維持に支障を及ぼすおそれ並びに日本国旅券の安全性が損なわれ,法人の円滑な海外渡航に支障を来すことにつながる可能性がある等,旅券事務の適正な遂行に支障を及ぼすおそれがある。 また、当該情報は,国際的に外交手段でのみ交換する慣行があり一般への公開をしない共通認識があるため,公にすることにより,他国,国際機関等との信頼関係が損なわれるおそれがあるため,不開示としました。不開示の理由は「セキュリティ」「国際慣行」の二つに分解することができる。この決定について濱野氏は
パスポートのセキュリティ - AAA Blog
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
Apple Developer Programが2/27から2ファクタ認証必須になる件 - backyard of 伊勢的新常識
日本時間の2/14の朝、Apple から一つのメールが届いた。 ベッドの中で寝ぼけながら読んでいて、一気に眠気が吹っ飛んだ。2/27 より2ファクタ認証が必須になるという内容が書かれていた。これは大きな問題になるぞ…!と思ってツイートした。 おいおい、Apple Developer Programのログインに「2ファクタ認証」必須化だと?これはマジ勘弁してほしい。 他のところみたくTOTPとかならどんどんやってほしいけど、Appleさんの「2ファクタ認証」は「iCloudログイン済の信頼済Appleデバイス」必須なのがヤバい。— いせ (@iseebi) 2019年2月13日 当初はこいつはマズイと思ったが、いろいろ問い合わせたり、その後出てきた情報を見た限り、杞憂そうだとわかったのでまとめておく。 Apple ID の2ファクタ認証とは いわゆる2要素認証だが、対応するのは 当該のApp
さっそくiPhone Xの顔認証機能「Face ID」を本人以外が突破してしまう
2017年11月3日についに登場となった「iPhone X」は、表面いっぱいに広がる5.8インチの大型ディスプレイやApple Watchとお揃いのステンレススチール製フレーム、そしてホームボタンと指紋認証機能の「Touch ID」がなくなった代わりに採用された顔認証機能の「Face ID」、といった具合にさまざまな新要素が盛りだくさんの端末となっています。そんなiPhone Xの目玉機能とも言えるFace IDを、まったくの別人でだますことに成功してしまったムービーが早速公開されて話題となっています。 New video shows Face ID fail to properly distinguish between siblings | 9to5Mac https://9to5mac.com/2017/11/04/face-id-siblings-fail/ iPhone Xで新し
家にssh鍵を忘れるという概念 - hiroqn's [Data.ByteString.Lazy.ByteString]
たまにssh鍵を家に忘れることがある。こういうものはsshしたいときに限って忘れる やべ、ssh鍵を家に忘れた、、、— 離苦 (@hiroqn) 2017年8月20日 仕組み 自分はYubikeyを使っている。 6月ごろにtype-cのやつを買った。(右のやつは1年以上持ち歩いているが結構丈夫) YubikeyはYubico社が出している電子鍵が安全に保管できるデバイスで、複数機能があるので一概にこれと説明はできない ここらへんに機能一覧はのっている メジャーな機能は下の4つ YubiOTP FIDO U2F PGP Card PIV card ざっくりした説明をすると Yubi OTP One Time Passwordの一種 OTPは現在時刻を利用したのものやカウンターを利用した物があるが、ハードウェアデバイスならではのカウンター+暗号化が入っているのでセキュアな雰囲気がある otam
![家にssh鍵を忘れるという概念 - hiroqn's [Data.ByteString.Lazy.ByteString]](https://cdn-ak-scissors.b.st-hatena.com/image/square/514e09de5df65524b9f83974767c7115faf0e156/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fh%2Fhiroqn%2F20170902%2F20170902205009.jpg)
ローソンチケット電子チケットアプリの国際SMS送信問題 #ローチケ #電子チケット - Togetterまとめ @lawson_ticket
簡易まとめ ユーザ側から「国際SMS」を送信する形での認証方法が取られている サーバ混雑の為か認証がなかなか出来ず、ユーザ側は何度もクリックしてSMS送信をしてしまった 5/15?頃のアプリアップデートまで認証時に国際SMS送信する旨の注意書きはなし 注意書きがないため、ユーザ側は国内SMSで送っているものだと錯誤していた人がいた模様(iOSのSMSアプリの送信画面ではアメリカへ国際SMS送信を示す"+1"表示はあり) 一度認証できても、アプリアップデートの度にSMS送信して認証が必要 認証できないとアプリから「FAQ」を見ることができない(Webからは常時可能) http://help.l-tike.com/faq/lists/20 ※iOSの場合、国際SMSを送信するのは『ローチケアプリ』からではなく『標準SMSアプリ』から送信? ※AndroidはローチケアプリでSMS送信? ローソ
そのメールアドレス、現在も使っていますか? - クックパッド開発者ブログ
こんにちは。ユーザーファースト推進室ディレクターの大黒です。 ありがたいことにクックパッドは今年で20年目をむかえ、数多くのユーザーに利用されるまでに成長しました。それ故に発生する課題もあり、今回はその中でもユーザー登録に使われているメールアドレスの課題と対策をご紹介したいと思います。 ユーザー登録の仕組み クックパッドのユーザー登録では、下記の項目が必要となります。 メールアドレス パスワード 郵便番号 生年月日 ※iOSアプリでは郵便番号と生年月日は任意入力となります SNSアカウント認証や認証コードでのアクティベートを採用するサービスが今では主流ですが、20年続くサービスであれば一般的なユーザー登録フローではないでしょうか。しかしながら最近のスマートフォンユーザーの多くはメールを使わないという実態も分かっているため、ユーザー登録にメールアドレスを使い続けるかどうかは、別途議論を進めて
どうログインしたか覚えてない方へ
ShortNote に登録した記憶はうっすらとあるけど、どのメールアドレス、もしくはどのソーシャルメディア認証でログインしたのか完全に忘れてしまった方は、以下の方法で確認してみてください。 たぶんメールアドレス+パスワードで登録したはず、の方へ 「たぶんメールアドレス+パスワードで登録したはず」という方は、思い当たるメールアカウントに ShortNote からの登録手続きメールが届いていないかをご確認ください。 タイトル:ご登録手続き(メールアドレスの確認)【ShortNote】 送付元アドレス:no-reply@shortnote.jp こんな情報で送信しています。 メールが見つかったら、そのメールの宛先になっているメールアドレス+思い当たるパスワードで、ログインをお試しください。 もし、「メールアドレスかパスワードが無効です。」と出てきたら、パスワード再設定のページからメールアドレスを
FAQ:アップルの「Touch ID」とは--指紋認証機能とセキュリティへの影響
Apple観測筋にとっては、米国時間9月10日に行われた大規模な「iPhone」発表パーティーで、Appleが指紋センサを発表したことは驚きではなかった。同社は2012年に、指紋を使った生体認証分野のトップ企業の1つを買収するために、数億ドルも支払っていたのだから。 しかしその「Touch ID」センサでは何ができるのだろうか。それは個人のセキュリティにどのような影響を与えるのだろうか。 --Touch IDとは何か。 Touch IDはAppleが「iPhone 5s」に搭載した、生体認証のための指紋センサだ。このセンサはホームボタンの下に組み込まれている。そこは指紋センサを取り付けるには理にかなった場所だ。ただしホームボタンを壊してしまったことがある人には、同意してもらえないかもしれない。 --Touch IDは何を管理しているのか。 Touch IDは、「iOS」向けのログイン機能の
他人事じゃなかった!Gmailアカウントに不正アクセスされたのでセキュリティ強化する
ここ数日で急にGmailアカウントへの不正アクセス&スパムメール送信の踏み台とされる問題が多く起こっています。 ネットニュース等でも多く取り上げられていたので知ってはいたのですが「まぁパスワードもすっげぇ長いし問題無いだろう」と思って放置していました。 が!!不正アクセスされちった・・・ 正確には未遂なのですが、もうこういうことは心臓に悪くて嫌なのでセキュリティ強化のために2段階認証の設定を行ってみようかと思います。 また、それに合わせてiPhone側の設定も変更する必要があるみたいなので、そこもやってみようかと思います。 *完全に私個人のメモです。だらだら忘れないように書いているだけですので、ご了承ください。 不正アクセスされる Googleからメールが届き、何だろ?と思って開いてみると以下の内容が。 最近、他のユーザーがアプリケーションを使用して Google アカウント (私のアカウ
Googleの2段階認証プロセスを設定して実感した非常に効果が大きそうなメリット - もとまか日記
昨年末頃、Gmailのアカウントへの不正アクセス関係で、Googleの2段階認証プロセスのことが話題になってましたが、以下の記事がとても参考になりました。 他人事じゃなかった!Gmailアカウントに不正アクセスされたのでセキュリティ強化する | Tools 4 Hack 他にも似たような記事は多数あったけど、具体例というか実体験に基づく記事はとても分かりやすくて貴重な情報だし、実に伝わりやすくて真に参考になる記事、と感じました。 で、年末は色々とバタバタしてたこともあったのと、以前から気にはなってたものの、まあ色々と理由もあってなかなか出来てなかったGoogleの2段階認証プロセスをようやく設定完了。設定してみて実感した2段階認証プロセスのメリットについてのメモ。 確認:不正アクセス有無の確認 とりあえず、現時点で不正アクセスがあったのかを確認しておいた方が良いので、以下で確認しておきまし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
個人番号カードなしで電子納税へ 来年1月から、自宅で申告 | 共同通信
TechCrunch
https://mrtc0.github.io/slides/ltdd-16-ssh-auth.html