Movatterモバイル変換

[0]ホーム
URL:

はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

はてなブックマーク

  • はてなブックマーク
  • テクノロジー
  • Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog
  • Twitterでシェア
  • Facebookでシェア

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

241usersがブックマークコメント14

    ガイドラインをご確認の上、良識あるコメントにご協力ください

    0/0
    入力したタグを追加

    現在プライベートモードです設定を変更する

    おすすめタグタグについて

      よく使うタグ

        Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog

        ガイドラインをご確認の上、良識あるコメントにご協力ください

        0/0
        入力したタグを追加

        現在プライベートモードです設定を変更する

        おすすめタグタグについて

          よく使うタグ

            はてなブックマーク

            はてなブックマークで
            関心をシェアしよう

            みんなの興味と感想が集まることで
            新しい発見や、深堀りがもっと楽しく

            ユーザー登録

            アカウントをお持ちの方はログインページ

            記事へのコメント14

            • 注目コメント
            • 新着コメント
            umaemong
            詳しい。パスワード認証でサービス側のパスワードの検証処理がバグってたら無意味なのと同様に、Passkey導入しているからといって無条件に安全なわけではない。

              その他
              nekochiyo
              正常系を通すだけなら適当なサンプルプログラムだけでも実装できてしまうのが認証・認可の難しいところ。実サービスに組み込むのは慎重に行なった方がいい

                その他
                ka-ka_xyz
                堅めのライブラリ(例えばhttps://github.com/webauthn4j/webauthn4j とか)だとどうなんだろ(どの程度独自実装が必要なんだろ)。認証系は全部firebase authに投げてしまってるので今どうなってるのか分からない。

                  その他
                  napsucks
                  署名検証の不備とか論外じゃね…

                    その他
                    ene0kcal
                    投資と同じで一箇所に集約することのリスク。完全なプログラム(アプリ)はないし。

                    その他
                    rryu
                    OpenID Connectとかの認証プロトコルも一番大変なのがレスポンスの検証で、ちゃんとやらないと脆弱性になってしまう。

                    その他
                    k-holy
                    "ユーザーが存在しなかった場合や、ユーザーに鍵が登録されていない場合でもランダムでもっともらしい仮想のCredential IDをallowCredentialsに含める"なるほど、メールアドレス+認証コードとかそういうのと同じやね。

                    その他
                    deep_one
                    レスポンスがチャレンジを持ってくる意味あるの?/ID重複はやらかすシステムがありそう。/登録の有無を回答してしまうシステムは昔から多い。

                      その他
                      Nan_Homewood
                      難しい

                      その他
                      nekochiyo
                      nekochiyo正常系を通すだけなら適当なサンプルプログラムだけでも実装できてしまうのが認証・認可の難しいところ。実サービスに組み込むのは慎重に行なった方がいい

                        2025/06/25リンク

                        その他
                        FreeCatWork
                        パスキー実装ミスはダメ!ボクが猫パンチしちゃうにゃ!セキュリティ、しっかり守ってにゃ〜!

                          その他
                          skypenguins
                          むずかしいな…

                          その他
                          Phenomenon
                          UVの検証とcountの検証もかいてあるかな?

                            その他
                            ya--mada
                            SAML/OIDCの誤った実装と似てる?

                              その他
                              umaemong
                              umaemong詳しい。パスワード認証でサービス側のパスワードの検証処理がバグってたら無意味なのと同様に、Passkey導入しているからといって無条件に安全なわけではない。

                                2025/06/24リンク

                                その他
                                toaruR
                                むずいやんか\(^o^)/

                                  その他

                                  注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

                                  リンクを埋め込む

                                  以下のコードをコピーしてサイトに埋め込むことができます

                                  プレビュー
                                  アプリのスクリーンショット
                                  いまの話題をアプリでチェック!
                                  • バナー広告なし
                                  • ミュート機能あり
                                  • ダークモード搭載
                                  アプリをダウンロード

                                  関連記事

                                    usersに達しました!

                                    さんが1番目にブックマークした記事「Passkey認証の実装...」が注目されています。

                                    気持ちをシェアしよう

                                    ツイートする

                                    Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog

                                    はじめに こんにちは、GMO FlattSecurity株式会社セキュリティエンジニアの小武です。 近年、WebAuthn...はじめに こんにちは、GMO FlattSecurity株式会社セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。記事では、W3CのWorking Draft(2025年5月現在)である Web Authentication: AnAPI for accessing Public KeyCredentials Level 3 を読み解き、Relying Party(RP)としてPasskey認証を導入する際に実装で注意すべき点を説明いたします。 はじめに Passkey認証でも生まれ得るセキュリティ

                                    ブックマークしたユーザー

                                    • rlyea2025/07/07rlyea
                                    • sanko04082025/06/28sanko0408
                                    • sora05132025/06/28sora0513
                                    • obaratch2025/06/26obaratch
                                    • bluescreen2025/06/25bluescreen
                                    • dhrname2025/06/25dhrname
                                    • oh_1572025/06/25oh_157
                                    • yggdra_w2025/06/25yggdra_w
                                    • TakayukiN6272025/06/25TakayukiN627
                                    • delegate2025/06/25delegate
                                    • ka-ka_xyz2025/06/25ka-ka_xyz
                                    • havanap2025/06/25havanap
                                    • ET7772025/06/25ET777
                                    • napsucks2025/06/25napsucks
                                    • ene0kcal2025/06/25ene0kcal
                                    • rebosukai2025/06/25rebosukai
                                    • rryu2025/06/25rryu
                                    • k-holy2025/06/25k-holy
                                    すべてのユーザーの
                                    詳細を表示します

                                    ブックマークしたすべてのユーザー

                                    同じサイトの新着

                                    同じサイトの新着をもっと読む

                                    いま人気の記事

                                    いま人気の記事をもっと読む

                                    いま人気の記事 - テクノロジー

                                    いま人気の記事 - テクノロジーをもっと読む

                                    新着記事 - テクノロジー

                                    新着記事 - テクノロジーをもっと読む

                                    同時期にブックマークされた記事

                                    いま人気の記事 - 企業メディア

                                    企業メディアをもっと読む

                                    はてなブックマーク

                                    公式Twitter

                                    はてなのサービス

                                    • App Storeからダウンロード
                                    • Google Playで手に入れよう
                                    Copyright © 2005-2025Hatena. All Rights Reserved.
                                    設定を変更しましたx
                                    [8]ページ先頭
                                    ©2009-2025 Movatter.jp