[自由編集可] 次世代 Web カンファレンス 2019 AuthN/Z セッション (#nwc_auth)

nodaguti@mstdn.jp @nodaguti

「聞き手のレベルを意識せず、話したいレベルで話してください」との兼ね合いどうなるだろう #nwc_auth

さわら @xhiroga

パスワードレスの現状とこれからどうなっていくのかが聞きたい #nwc_auth

82@はに @watahani

ID専門（なりたい） #nwc_auth

kazuki229 @kazuki229_dev

ログイン機能で昔から使われる「パスワード」 パスワードを強化、定期変更、パスワードレスなどの最近の流れ #nwc_auth

Shunsky I @shunsky_i

どこかに設定したパスワードは必ずどこかに漏洩している前提。 からのパスワードレス #nwc_auth

kazuki229 @kazuki229_dev

パスワードレス→記憶に頼らない新しい認証手段 SMSやFIDO #nwc_auth

蒸留スイ @jyouryuusui

最初のテーマ パスワードの話、ID・認証になるとユーザを識別するために昔から使われている。ここ数年で強度を強くしようという流れがありつつ、最近の流行りはパスワードレス（記憶に頼らないように使っていこうと　SMSだとか生体だとか） #nwc_auth

mayberyota @mayberyota

パスワードはもう漏れています、それが前提なんですよね、ってことらしい。ID業界((((；ﾟДﾟ)))))))恐ろしい #nwc_auth

おおた @ota42y

どこかのサイトで入力したパスワードはすでに流出しているという現実… #nwc_auth

kazuki229 @kazuki229_dev

回線認証の話 #nwc_auth

Siena. @n_siena

「認証系のお仕事の人は会場にほぼいないようなので、入門的なところもカバーしていこう。 「まずは、パスワードから。 「ここ5年くらいで使ったパスワードはだいたい漏れてる。どうやって強固にしていくかという流れがある。例えばパスワードレスの流れ。 #nwc_auth

nodaguti@mstdn.jp @nodaguti

生体認証系，公的権力に対するセキュリティが弱まりそうなのがちょっと気になっているのだけどどうなのかな #nwc_auth

kazuki229 @kazuki229_dev

SIMの持ち主が誰かわかっているので、キャリアは回線認証が可能 #nwc_auth

かつ丼 @watanabe9434

パスワードレスでパスワード認証よりも安全で確実な方法？ #nwc_auth

kazuki229 @kazuki229_dev

スマートログイン softbank.jp/mobile/service… #nwc_auth

さわら @xhiroga

パスワードはダメ、という前提 #nwc_auth

おおた @ota42y

パスワードをそもそも使わない認証方式。所持しているという事実に基づいた回線認証とか。ただしリカバリー周りや盗まれた場合を考えると十分ではない。 #nwc_auth

kazuki229 @kazuki229_dev

パスワードはダメという前提の説明 #nwc_auth

kazuki229 @kazuki229_dev

IDとパスワードという組み合わせはたくさんのWebサイトで必要 OpenID ConnectやOAuthでは一つのサイトのIDとパスワードをいろんなサイトで利用しようと言う仕様 #nwc_auth

Shunsky I @shunsky_i

SMS認証（回線認証）は携帯キャリアには強い。何らかの機器を所持していることを多要素認証もその流れ。 #nwc_auth

きりえ @__kyrieleison__

MODRNA のお話聞けたりしないかな openid.net/wg/mobile/ #nwc_auth

みぃや @miliya612

password使い回しによる脆弱性 #nwc_auth

🆕 @otakumesi

IDとパスワードによる組み合わせは、ユーザが複数サイトで同じものを利用しがちでセキュリティ的に甘いサイトに足をすくわれてつらいことになる #nwc_auth

かつ丼 @watanabe9434

2段階認証でパスワード+αではなくてパスワード自体をなくしましょうという話か #nwc_auth

mayberyota @mayberyota

"パスワードはダメ"って前提、何故なら色んなサイトで使い回す、その色んなサイトがそれぞれで穴になる。つまり、どれか1つでも漏れると全部漏れるってことになるから、ってことかな。 #nwc_auth