Developers Summit 2024「パスワードレス認証とは?Passkeysを導入することで得られるユーザー体験と考慮点」を見ました
Okta Japan株式会社 プリンシパルデベロッパーアドボケイト 池原 大然さん
目次
パスワード認証とその課題
「簡単なパスワードは簡単に推測される。
社内の最小桁数は64文字など、複雑化の一途を辿っている。
結果、使いまわしたくなる。
そういうわけにもいかないのでツールが必要。」
複雑なパスワードを使用したいんですが、覚えられない問題がありますよね。
ツールを使って管理していくことがほんと必要ですよね。
MFAの懸念
- MFAチャネルの特性、可用性によってログインできないこともある。
- 一般ユーザーにとっては煩わしい。
- フィッシングサイトで入力することで突破されることもある。
- デバイスやSIMそのものを守る必要がある。
完全ではないとはいえ、有効な手段ではある。
パスワード以外を使用したユーザー認証
- Email/SMS
- セキュリティキー
- 生体情報
WebAuthentication(WebAuth)
- パスワードの代わりに公開鍵暗号方式を使用するためのAPI
- 主要なブラウザでサポートされている
- デバイスごとの登録が必要
Passkeys(パスキー)
デバイス登録の方法とデバイス間やクラウドアカウントで同期できるsynced passkeysがある。
iCloudキーチェーン、ChromeプロファイルなどでPasskeysの保存ができる。
アカウント作成時にパスワードを登録する必要がなく、覚えておく必要がない。
アプリ側で実装して、ユーザーに安全な生体認証などを提供できるんですね。
考慮点
既存ユーザーを置いていかない
新たな選択肢として実装する場合は、既存の方法も残しておく。
既存の方法でログインしているユーザーにも提案画面を差し込んでいく。
アカウントリカバリーをどう行うか
デバイスに登録されている場合はデバイスの紛失、同期の場合は保存先にアクセスできなくなった場合に、リカバリーの仕組みは必要。
本人確認からリカバリーする仕組みを検討して実装する必要がある。
まだPasskeysに対しての業界スタンダードなリカバリー方法は確立されていないようなタイミングなので、リカバリーが脆弱性を生まないように検討する。
ブラウザやOSの進化に対応
すべての環境が対応しているとも限らないので、既存認証方式は確保しておく。
感想
アプリの認証実装の選択肢として、優先的に検討しておきたいですね。
Okta Customer Identity Cloudを使用して実装を楽にできるので、試してみたいです。
ワークショップもあるみたいなので、やってみます!
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
![](https://www.sbcr.jp/wp-content/uploads/2023/01/9784815617929-1-407x596.jpg)
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
![](https://www.sbcr.jp/wp-content/uploads/2024/01/9784815625382-3-420x596.jpg)
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
![](https://www.shuwasystem.co.jp//images/book/637791.jpg)
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
![](https://book.mynavi.jp/files/topics/135344_ext_06_0.jpg?v=1673514682)
「AWSではじめるLinux入門ガイド」という本を書きました。
![](https://www.yamamanx.com/wp-content/uploads/2023/12/81Rp5O9We6L._SY522_.jpg)
![@yamamanx](https://www.yamamanx.com/wp-content/plugins/lazy-load/images/1x1.trans.gif)
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
Developers Summit 2024「AI時代のソフトウェアテストの現在と未来」を見ました
Launchable, Inc. Co-CEO 川口 耕介さん 和田 卓人 さん …
-
-
「JP_Stipes Osaka meetup vol.1」を運営させていただきました
Stripeのユーザーグループ、JP_Stripesの大阪ミートアップの運営をさ …
-
-
Developers Summit 2024「技術を超えた成長へ:エンジニアとしてのマインドセットと学びの旅」を見ました
NECソリューションイノベータ株式会社 田中 拓摩さん SAP基幹システムのAW …
-
-
ヤマムギvol.17 AWSでALBとAuto Scalingのデモをしました
ゴールデンウィーク10日連続朝30分のデモチャレンジ5日目です。 81名さんもの …
-
-
JAWS DAYS 2018の1日前に名古屋にいました「JAWS-UG名古屋 AWS勉強会 JAWS DAYS 2018前夜祭」
仕事の都合でJAWS DAYS 2018の前日は名古屋にいました。 宿泊地はお店 …
-
-
Salesforce WorldTour Tokyo 2018で、つながる世界の熱気を感じた
去年はたしか芝公園の方だったかと思いますが、今年はビッグサイトです。 数千人レベ …
-
-
Developers Summit 2018 「将棋プログラムPonanzaにおける強化学習、ディープラーニングとその先」を聞きました
以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …
-
-
LINEとAWSとTwilioとkintoneでBOTを作ってみるハンズオン (6) Twilioからの電話受付と登録処理
作るところ 電話がかかってきてTwilioで受け付けてStepFunctions …
-
-
ActRoomの仕様を書いてみた
これはLow-Code/No-Code Advent Calendar 2018 …
-
-
「〜おじゃったもんせ!〜鹿屋ワーケーションサミット」に参加しました Day2
「〜おじゃったもんせ!〜鹿屋ワーケーションサミット」に参加しました Day1に続 …