Developers Summit 2024「パスワードレス認証とは？Passkeysを導入することで得られるユーザー体験と考慮点」を見ました

Okta Japan株式会社 プリンシパルデベロッパーアドボケイト 池原 大然さん

パスワード認証とその課題

「簡単なパスワードは簡単に推測される。
社内の最小桁数は64文字など、複雑化の一途を辿っている。
結果、使いまわしたくなる。
そういうわけにもいかないのでツールが必要。」

複雑なパスワードを使用したいんですが、覚えられない問題がありますよね。
ツールを使って管理していくことがほんと必要ですよね。

MFAの懸念

• MFAチャネルの特性、可用性によってログインできないこともある。
• 一般ユーザーにとっては煩わしい。
• フィッシングサイトで入力することで突破されることもある。
• デバイスやSIMそのものを守る必要がある。

完全ではないとはいえ、有効な手段ではある。

パスワード以外を使用したユーザー認証

• Email/SMS
• セキュリティキー
• 生体情報

WebAuthentication(WebAuth)

• パスワードの代わりに公開鍵暗号方式を使用するためのAPI
• 主要なブラウザでサポートされている
• デバイスごとの登録が必要

Passkeys(パスキー)

デバイス登録の方法とデバイス間やクラウドアカウントで同期できるsynced passkeysがある。
iCloudキーチェーン、ChromeプロファイルなどでPasskeysの保存ができる。
アカウント作成時にパスワードを登録する必要がなく、覚えておく必要がない。

アプリ側で実装して、ユーザーに安全な生体認証などを提供できるんですね。

考慮点

既存ユーザーを置いていかない

新たな選択肢として実装する場合は、既存の方法も残しておく。
既存の方法でログインしているユーザーにも提案画面を差し込んでいく。

アカウントリカバリーをどう行うか

デバイスに登録されている場合はデバイスの紛失、同期の場合は保存先にアクセスできなくなった場合に、リカバリーの仕組みは必要。
本人確認からリカバリーする仕組みを検討して実装する必要がある。
まだPasskeysに対しての業界スタンダードなリカバリー方法は確立されていないようなタイミングなので、リカバリーが脆弱性を生まないように検討する。

ブラウザやOSの進化に対応

すべての環境が対応しているとも限らないので、既存認証方式は確保しておく。

感想

アプリの認証実装の選択肢として、優先的に検討しておきたいですね。
Okta Customer Identity Cloudを使用して実装を楽にできるので、試してみたいです。
ワークショップもあるみたいなので、やってみます！

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト ［DVA-C02対応］ 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。