筆者の下に父から突然、「パスワードとパスキーの違いは何だ?」というメッセージが届いた。父は、いつものようにネットサーフィンをしていた際、あるウェブサイトかアプリケーション(認証用語で言うところの「Relying Party」)で、パスキーを作成するよう促されたらしい。しかし、その利点は父には明確ではなく、緊急性も感じられなかったようだ。父は、筆者がパスキーについて知っており、次に設定を促された際にどうすべきかも分かっているだろうと考えたのである。 父が見たようなプロンプトは、われわれの日常的なデジタル生活において、今後ますます一般的になるだろう。実際、パスキーによってパスワードを排除しようという、テック業界の壮大な計画の一部なのである。筆者はその計画の支持者であるが、実現のタイミングについては、他の人々ほど楽観視はしていない。 普及への障壁 現在のパスキー導入計画は、強固な技術的基盤の上に
はじめに 最近、Googleがパスキーのゴリ押しに拍車がかかってるなぁって感じの記事を見つけました。 「なんだかよく分からないけど、とりあえず設定してみた」 「本当に安全なの?逆に危なくない?」 「そもそもパスキーって何?」 この記事では、そんなパスキーの基本的な仕組みから、セキュリティに関する踏み込んだ疑問、そしてGoogleをはじめとする巨大テック企業がなぜこれほどまでにパスキーを推進するのか、その裏側にある戦略的な「狙い」 までを、まとめてます。 パスキーって何? 🤔 パスワードとの根本的な違い まず、パスキーとは何か。一言で言えば、「パスワードを使わずに、デバイスの生体認証(指紋・顔)やPINを使ってログインする仕組み」 です。 パスワード認証とパスキー認証の根本的な違いは、認証に使う情報にあります。 パスワード: 「あなたが知っていること(知識情報)」で認証します。合言葉を知っ
これは要件により変わるというのが回答になります。以下長くなりますが、お付き合い下さい。 オンラインバンキングの方は、不正取引との長い戦いの歴史があり、それでいて不正アクセスによる被害が減らないという現状があります。「こうすれば安全になる」という理屈は、長い歴史の中である程度知見が溜まっているはずですが、「利用者が使いこなせないのでその方式は普及していない」という手法もあります。その代表例として、トランザクション認証を挙げたいと思います。トランザクション認証については、私の過去のブログ記事をお読みください。 https://blog.tokumaru.org/2015/04/blog-post_28.html みずほ銀行のトランザクション認証を試してみた既に報道されているように、インターネットバンキングに対する不正送金事件が多発しています。 警察庁は2015年2月12日、2014年(平成26
同社は6月1日、IDやパスワードを入力した後にメールで届く「ワンタイムパスワード」による多要素認証を必須化した。当初はワンタイムパスワードとして絵文字2種類を順に選ぶ仕様だったが、6月8日にはセキュリティー強化のため絵文字と数字から4種類を選ぶように変えた。ログインしづらい状態になった原因については「仕様変更した件も含め、サーバーに負荷がかかったためだ」(広報)とする。 絵文字を使った多要素認証を停止しているものの、「リスクベース認証は引き続き提供しているため、安全性に大きな影響はない」(広報)という。リスクベース認証とは、ユーザーの行動パターンや利用環境を基に認証レベルを変更する認証方式のこと。絵文字を使った多要素認証機能は、「2025年6月9日中に再開させる予定」(広報)とする。
口座を開設する時など、免許証やマイナンバーカードの券面を撮影して本人確認を行う方法が広がっていますが、なりすましによる犯罪が相次いでいることから、警察庁は非対面でのこうした確認の方法を再来年4月に廃止する方針を固めました。 免許証などのコピーの郵送で本人確認を行う方法も合わせて廃止する一方、ICチップの情報を読み取る非対面での確認方法などは引き続き認める方針で、今後、規則の改正手続きを進めるとしています。 警察庁によりますと、他人になりすまして偽造した口座やカードが特殊詐欺などの犯罪に悪用されるケースが相次ぎ、治安上の課題になっています。 口座の開設やカードの作成時など、運転免許証やマイナンバーカードの券面をスマホなどで撮影して画像を送る非対面での本人確認の方法が広がっていますが、警察庁はこうした方法について、再来年4月に廃止する方針を固めました。 また、免許証などのコピーを郵送し、「転送
SMSによる二要素認証は悪用されるケースが報告されている。Google セキュリティ・プライバシー広報担当のロス・リッチェンドルファー氏はCNETの取材に対し、「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた。 Googleは今後数カ月以内に電話番号認証の方法を一新する予定だ。Gmailやその他のGoogleサービスは、SMSで6桁のコードを送る方式から、ユーザーが手元の端末でスキャンできるQRコードを表示する方式に変わる。 この変更は、ユーザーが詐欺師にSMSコードを教えてしまうリスクをなくし、通信事業者が侵入経路となる可能性を排除するためだ。また、Googleによれば、一部の犯罪者は「トラフィックポンピング」と呼ばれる手法でSMSを悪用し、送信数に応じた報酬を得ているという。 リッチェンドルファー氏は、QRコードの導入によりフィ
日本と欧州の発想の違い デジタルアイデンティティとその入れ物であるデジタルIDウォレットについて、当研究所所報第6号で取り上げた。当方の論文[i]では、欧州での法制の動きを技術仕様に踏み込んで紹介したところ、次のような質問を受けた。「日本ではマイナンバーカード機能をスマホに搭載する動きが進んでいるが、あれと同じようなものか?」。答えは「一見すると同じ機能のように見えるが、枠組みの発想法が異なるので別物」ということになろう。 論文のまとめでは、我が国の現状を、公的デジタルIDとしてマイナンバーカードの利用促進や機能拡張が進められてはいるが、デジタルIDウォレットのグランドデザインが存在していないと指摘した。この違いを理解するには、そもそもアイデンティティとは何かという定義から始めた方がよい。 アイデンティティとは、個人、組織、またはデバイス機器が一意に識別されるための情報や属性の集合体を指す
クレジットカードの利用時における本人確認方法として一般的だった「手書きサイン」が2025年3月末で廃止される。以降はPIN(暗証番号)の入力が原則となる。 この方針は、日本クレジット協会(JCCA)が公表した「クレジットカード・セキュリティガイドライン」に基づくもので、クレジットカード業界全体でのセキュリティ強化を目的としている。 具体的には、カード決済時に店頭での端末操作などで暗証番号の入力をスキップし、サインで本人確認する「PINバイパス」は、2025年3月末をもって原則廃止となる。以降は暗証番号を入力をせず、サインで本人確認する方法は利用できない。 クレジットカードに暗証番号を設定していない場合、3月までに設定を済ませる必要がある。そのため各カード会社は、設定を済ませていないユーザーに対して、暗証番号の設定を呼びかけている。 今回の仕様変更で影響が出る例の1つが、高級レストランなどで
パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。 サービス側 企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザーの責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない。 ユーザー側 パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける機
はじめに Wikipedia の JWT (JSON Web Token) に関する記事が誤っていたので、2020 年 5 月 9 日、英語版、日本語版ともに修正を行いました。 修正前の記事では、JWT のことを「JSON をベースとしたアクセストークンのためのオープン標準である」と説明していました。しかし JWT は用途を限定しない汎用的なデータフォーマットです。アクセストークンのフォーマットとして JWT を採用することは、JWT の応用事例の一つに過ぎません。なお、アクセストークンのフォーマットは必ずしも JWT とは限りません。→ 参考:『図解 JWS/JWE/JWT/IDトークン/アクセストークンの包含関係』 JWT を知らない状態で OAuth と OpenID Connect の学習を始めると、「JWT はアクセストークンのための技術である」、「JWT はユーザ認証のための技
ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便利な仕組み プラットフォームを跨いだ利用が可能 パスワードを置き換える 1の安全性については技術的に説明されています。最もシンプルな使い方であれば「慣れ」ることで便利さも感じられるかと思います。 2はプラットフォーマーやパスワードマネージャーが頑張っているところです。Appleがいち早く同一プラットフォーム、クロスデバイスな環境における同期を確立、Google Password ManagerはChromeが動作する環境でパス
証明書認証局(CA)のLet's Encryptが、公開鍵の証明書の失効状態を取得する通信プロトコルであるオンライン証明書状態プロトコル(OCSP)のサポートを終了することを明らかにしました。 Intent to End OCSP Service - Let's Encrypt https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html Let's Encryptのエグゼクティブディレクター兼共同創設者であるジョッシュ・アース氏は2024年7月23日に、「私たちは本日、OCSPのサポートを終了し、証明書失効リスト(CRL)をできるだけ早く導入する意向を発表します」と述べました。 Let's Encryptは記事作成時点で約10年間にわたってOCSPのレスポンダーを提供してきましたが、2022年からはCRLのサポートも行っ
メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。 Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch https://techcrunch.co
なお、オンラインなど非対面で携帯電話を契約する場合は、マイナンバーカードのICチップ読み取りによる本人確認に原則一本化する方針だ。 携帯電話契約時の本人確認を巡っては、身分証を偽造して携帯電話の所有者になりすまし、機種変更やSIMの紛失、MNPなどを理由に携帯電話のSIMカードを再発行することで、被害者のSIMカードを乗っ取ってしまう「SIMスワップ」「SIMハイジャック」が問題視されていた。東京都の都議会議員や大阪府八尾市の市議会議員も被害に遭っており、デジタル庁はICチップ読み取りによる本人確認を推奨していた。 関連記事 携帯契約の本人確認、“オンライン”はマイナカードのICチップ読み取りに一本化 対面もマイナカード“など”のIC読み取りが義務化 デジタル庁は、携帯電話契約時の本人確認について、オンラインなどの非対面の場合はマイナンバーカードのICチップを使った方法に原則一本化すると発
デジタル大臣を務める河野太郎氏は6月18日、マッチングアプリ事業者に対し、マイナンバーカードによる厳格な本人確認を導入するよう呼びかけた。 マイナンバーカードの「公的個人認証サービス」は、オンラインで迅速かつ厳格な本人確認を実施できるサービスだ。また、マイナポータルでは本人自身の情報について、本人の同意を得たうえで民間サービスと連携できるAPI機能もある。そのため、マッチングアプリ事業者がユーザーの本人確認にマイナンバーカードを用いることも仕組み上は可能だ。 河野大臣によると、8月にはマイナポータルにおいて、婚姻関係を含む戸籍関係情報との連携がスタートする。これによって、マイナンバーカードによる本人確認時に、既婚か未婚かを厳格に確認できるようになる。 政府はロマンス詐欺への対策で、マッチングアプリにおける本人確認の厳格化を推進する方針。また、既婚であることを隠して利用しているユーザーも排除
2023年中に特殊詐欺に悪用された携帯電話回線で、契約時の本人確認に使われた書類は運転免許証が最も多く、偽造運転免許証が386回線、偽造マイナンバーカードが1回線あった――河野太郎デジタル大臣は、6月8日付の自身のブログでこんな事実を明らかにした。 「本人確認の際は、目視ではなく、運転免許証かマイナンバーカードのICチップ読み取りが一番確実な方法だ」と述べている。 河野氏によると、23年中に特殊詐欺に悪用された携帯電話回線のうち、契約時の本人確認が把握されているものが619回線。うち、偽造された書類を使ったものは419回線と全体の68%に上った。 本人確認書類に運転免許証が使われたものは534回線あり、うち偽造免許証が使われたのは386回線。 マイナンバーカードが本人確認に使われたものは23回線、うち偽造マイナンバーカードは1回線だったという。 また、健康保険証が本人確認に使われていたのは
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
5月27日、マイナンバー法等改正法(改正マイナンバー法)などが施行され、マイナンバーカードの機能や用途が広がった。国外への引っ越しの際、事前の申請があればマイナンバーカードが失効しなくなった他、マイナンバーカードによる本人認証に関する規定も明確に。暗証番号を入力しない「かざし利用」が可能になった。デジタル庁もかざし利用を推進する方針だ。 デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。 かざし利用は、求められる認証強度が低い場面での利用を想定しており、デジタル庁は例として「図書館カードとしての利用や避難所への入退場の際の利用」を挙げている。 ただしオンライ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く