• 2024/6/14
• https://connpass.com/event/319302/

パスキー概要

• メルカリ 大井さん

メルカリの事例

• mercoin公開のタイミングでパスキー導入
  • その後メルカリにも導入
  • スマホの端末の認証だけでログインできる
• パスキーの登録
  • SMS認証してパスキー作成したら登録完了
• パスキーのログイン
  • IDにフォーカス当てるとConditionalUIの部分に登録してる情報出るからスマホの認証するだけ
• クロスデバイス認証
  • ログインしたい端末でQRコードを出す
  • 登録済みデバイスで読み込むとログインできる
• FIDO認証
  • ログイン時間4.4秒
    • SMSは17秒
  • 成功率82.5%
    • SMSは67.7%

パスキーの登録

• メルカリ kokukumaさん

パスキーの登録

• 同じデバイス上
  • 端末の認証で登録
• 別のデバイス上
  • QRを端末で読み込んでそこで端末の認証して登録
• 登録の流れ
  • Relying Party Serverから情報をとる
    • challenge
    • user id
    • relying partyの情報
  • ブラウザからAuthenticatorに情報を渡す
  • Authenticatorからもらった情報をブラウザからサーバに投げる
  • verifyだったらパスキーを保存する
    • Credential ID
    • Credential Public Key
    • AAGUID

パスキーによる認証

• NRI セキュア 古川さん

パスキーのユーザ体験

• ログインのUI
  • ConditionalUI
    • autocomplete属性にwebauthn
    • windows10で使えない
  • ログインボタンを押してパスキー選択
  • ID入力からのパスキー要求

クロスデバイス認証

• 異なる端末のパスキーを使ってログインできる
• ログインしたい端末でQR出してBluetoothで端末があることを確認後に端末で読み込んでログイン
• 同じoriginにしか情報が送られないからフィッシング耐性がある