More Related Content Similar to FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
Similar to FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf (20) More from FIDO Alliance (20) FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf1. ©2024 Sony Interactive Entertainment
Case Study: passkey support in SIE
/ SIEにおけるpasskey導入事例紹介
Sony Interactive Entertainment Inc.
Hirotaka Ishikawa (Hirotaka.Ishikawa@sony.com)
2024/05/15 | v. 0.0
2. ©2024 Sony Interactive Entertainment
Introduction / 自己紹介
⚫ Name: Hirotaka Ishikawa (石川 宙孝)
⚫ Company: Sony Interactive Entertainment Inc.
⚫ Responsibility: Accounts Experience Client Eng lead
– Sign-in, Account Creation, Account Info, PSN profile, Security settings, Privacy settings, 3rd party account
linking, Family management (Playtime control, parental control, child privacy setting etc)
– Server Eng in San Diego
3. ©2024 Sony Interactive Entertainment
Agenda
⚫Why passkey? / passkey導入の目的
⚫What we provide to customers / passkeyサポート仕様
⚫How to support non-FIDO devices / FIDO非対応機器への対応
⚫What troubled us and what we wish / 直面した問題点
3
5. ©2024 Sony Interactive Entertainment
Why passkey? / passkey導入の目的
⚫ UX improvement / UX向
上
⚫ PLA risk reduction / PLAリ
スク軽減
⚫ SMS cost reduction /
SMSコスト削減
⚫ CS cost reduction / CSコス
ト削減
⚫ Can free from the hassle of entering passwords / password入
力のわずらわしさからの開放
– Input on PlayStation controller / コントローラ入力
– Touch input on smartphone / 携帯端末での入力
⚫ Can utilize security and UX provided by OS and Platform /
OSやプラットフォームのセキュリティやUX改善を利用できる
– Face recognition, Fingerprint recognition / 顔認証、指紋認証
– Can keep the UX to be latest and secure by the improvement on
OS/Platform / OSやプラットフォームでの修正や改善活動により、UXを最新か
つセキュアに保てる
6. ©2024 Sony Interactive Entertainment
Why passkey? / passkey導入の目的
⚫ UX improvement / UX向
上
⚫ PLA risk reduction / PLAリ
スク軽減
⚫ SMS cost reduction /
SMSコスト削減
⚫ CS cost reduction / CSコス
ト削減
⚫ Effective for Massive number of Password List Attack / パス
ワードリストアタックへの効果
– Like playing whack-a-mole / いたちごっこからの離脱
• Apply Security system → Find new way to attack → Apply …
⚫ Can reject any requests for Password disabled users /
password認証そのものをdisableしてリクエストを拒否できる
7. ©2024 Sony Interactive Entertainment
Why passkey? / passkey導入の目的
⚫ UX improvement / UX向
上
⚫ PLA risk reduction / PLAリ
スク軽減
⚫ SMS cost reduction /
SMSコスト削減
⚫ CS cost reduction / CSコス
ト削減
⚫ 2-step verification with SMS is effective to PLA / PLAへの効果
的なSMSによる2段階認証だが..
– Need cost for each authentication / 認証毎にかかるコスト
– Cost for one SMS depends on operators who receive SMS / SMSにか
かるコストは受信事業者次第
⚫ Can switch our recommendation for security / 推奨するセキュ
リティ施策を刷新
– from “2SV by SMS” to passkey / SMSによる2段階認証からpasskeyに
– without any lost of security level / セキュリティレベルを下げずにSMSコス
トを下げる
8. ©2024 Sony Interactive Entertainment
Why passkey? / passkey導入の目的
⚫ UX improvement / UX改
善
⚫ PLA risk reduction / PLAリ
スク軽減
⚫ SMS cost reduction /
SMSコスト削減
⚫ CS cost reduction / CSコス
ト削減
⚫ We have self-serve Password Reset, but Password Reset
request is still one of the top reasons of CS calls / オンラインで
のpasswordリセット機能も提供しているが、Passwordリセットに関わるものが
CSに来る問い合わせの上位
⚫ “Forgot password” will not happen once enabled passkey /
passkeyを使う設定にすれば「password忘れ」という状況はなくなる
10. ©2024 Sony Interactive Entertainment
What we provide to customers / passkeyサポート仕様
⚫ Scope / スコープ
⚫ Timeline / タイムライン
⚫ Key features / 主な機能
⚫ Global All Sony Accounts / 全世界のソニーアカウントが対象
– 30+ Sony Group services / 30以上のソニーグループサービス
– 180+ countries / 180カ国以上に展開
– 118+ million Monthly Active Users (PSN, As of March 31, 2024) / 1
億1800万人以上の月間アクティブユーザ
11. ©2024 Sony Interactive Entertainment
What we provide to customers / passkeyサポート仕様
⚫ Scope / スコープ
⚫ Timeline / タイムライン
⚫ Key features / 主な機能
Enhance
Marketing
Global
Launch
Beta
2023/11 2024/2 2024/3 2024/4
2023/11 Beta for Global SIE employees & partners / SIEグローバル社員と関係者を対象にBetaプログラム実施
• 150+ beta users reported 60+ issues / 150人以上のユーザ、60以上のissueレポート
2/13 – 2/22 : Completed region base phased release / 国ベースで段階リリースを完了
2/13 : Corporate Blog Announcement /企業ブログに掲載
2/26: Direct Email, notification / カスタマーへ直接アプローチ
3/26: Promotion on PS5 / PS5上でのpasskey promotion
4/18: passkey on Account Recovery / アカウント回復フローでPasskey登録可能
… to be continued … / 今後も改善していく予定
Investigation/Development
2022
Started FIDO investigation long before.. / FIDO導入の検討は長く行なわれ..
Started development for passkey at the end of 2022 / passkey導入の開発は2022年後半から
12. ©2024 Sony Interactive Entertainment
What we provide to customers / passkeyサポート仕様
⚫ Scope / スコープ
⚫ Timeline / タイムライン
⚫ Key features / 主な機能
⚫ Disable Password in passkey-mode / passkeyを有効にするとPasswordは
無効に
⚫ Utilize conditional UI to provide better UX / Conditional UI有効化
passkey
Password
passkey
Password
14. ©2024 Sony Interactive Entertainment
How to support non-FIDO devices / FIDO非対応機器への対応
MUST have feature to delegate authentication on non-FIDO device to
other FIDO ready devices.
/ FIDO非対応機器での認証を、他のFIDO対応機器へ委譲する方法が必須
Disable Password in passkey-mode / passkeyを有効にするとPasswordは無効に
Users need to sign in on non-FIDO devices by using passkey authentication
/ 結果、FIDO非対応機器へのサインインをpasskey認証を使って実現する必要がある
15. ©2024 Sony Interactive Entertainment
How to support non-FIDO devices / FIDO非対応機器への対応
⚫ How to support Game
Consoles / game console対
応
⚫ How to support non-
FIDO devices / FIDO非対応
機器対応
⚫ Utilize Password-free Sign-in / Password-free Signinを利用
– Delegate to PS App or Web Sign-in / PS App (Mobile app) や Sign-in Web appに委譲
– Password-free Sign-in is being provided from PS5 launch timing / 機能はPS5
launch時から提供済
– Mechanism is based on OAuth device code flow / Oauth device code ベース
• Out of FIDO spec / FIDOスペック外
(1) Create Authn ticket
(4) Detect ticket approval
passkey Sign-in /
Password Sign-in
(3) Approved
On-Console
Off-Console
(2) Delegate to off-console
16. ©2024 Sony Interactive Entertainment
How to support non-FIDO devices / FIDO非対応機器への対応
⚫ How to support Game
Consoles
⚫ How to support FIDO
un-supported devices
⚫ Utilize Magic Link / Magic Linkを利用
– Delegate passkey authn to other devices via QR code and Email / QR codeや
email経由で他デバイスに委譲
– Internally, mechanism is like Password-free Sign-in / 内部的には Password-Free
Sign-inと似ている
• Out of FIDO spec / FIDOスペック外
(1) Create Authn ticket
(4) Detect ticket approval
passkey Sign-in /
Password Sign-in
(3) Approved
passkey unsupported devices
Or when unexpected error happens on WebAuthn
passkey supported device
(2) Delegate to other devices
18. ©2024 Sony Interactive Entertainment
Purpose of this section / このセクションの目的
⚫ Firstly, we appreciated for the good UX which FIDO technology is providing, and for the
architecture design which considered to reduce the effort of service side. / まずはじめに、
FIDOテクノロジーが提供する優れたUXとサーバサイドの労力を軽減するよう考慮されたアーキテクチャ設計にとても
感謝しています。
⚫ The purpose of this section is, / このセクションの目的は、
– Exactly not “complain”! / クレームではありません!
– Knowledge sharing for the people who considering to support passkey / 今後導入を考えられている方々への知
識共有
– Suggestion to achieve more-easier integration on service side / 今よりも簡単なインテグレーションを実現するため
の提言
19. ©2024 Sony Interactive Entertainment
Need to determine the OS and OS version / OSバージョンを判定する必要性
⚫ Should not decide passkey availability only by WebAuthn API visibility / WebAuthn APIが参照で
きるかどうかだけではpasskey対応と見做せない
⚫ Even older than supported version, sometimes WebAuthn is visible / サポートバージョン以下で
もWebAuthn APIを参照できることがある
⚫ Even official supported version, there’re some OS specific behaviors / サポートバージョンでもOS
specificな動作がある
– E.g.,
• Some Android device will not provide CTAP hybrid flow.
• Even setup associated domain to MacOS app, it seems not to be effective, so WebAuthn failed.
• Different response for cancelling CTAP hybrid flow and fingerprint verification on AOS
• Depending on timing to close, the dialog cannot be opened again.
• Etc
If every OS can behave as same, it is best for us!
/ 同じ動作をしてくれるのがベスト!
20. ©2024 Sony Interactive Entertainment
Android In-App WebView doesn’t support WebAuthn /
Andorid WebView上ではWebAuthnは非対応
⚫ Different from WKWebView, Android WebView doesn’t support WebAuthn regardless
associated domain configuration. / WKWebViewと違って関連ドメイン設定をしてもWebAuthnを使うことがで
きない
→ need to migrate to Chrome Custom Tab / Chrome Custom Tabへのmigration検討が必要
⚫ For application which cannot migrate to Chrome Custom Tab for some reasons / Chrome
Custom Tabを使えない他の理由がある場合は、
→ need to implement some special proxy between Credential Manager / Credential Managerとの橋渡しをする
proxy実装などの特殊実装が必要
20
I’m not familiar with the reasons (security reasons?), but if Android
WebView also support WebAuthn, it is better for us! /
Securityなど、対応していない理由は分かっていないが、使えるとより良い!
21. ©2024 Sony Interactive Entertainment
Error response from WebAuthn are not well-defined /
WebAuthnからのエラーレスポンスの定義
⚫ https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API
– Several “error name” are defined. / エラー名は定義されていますが、
– But the situation for particular “error name” includes the situations which require different
behavior/page transitions from UX point of view. / UX的に違う動作が必要なケースで同じエラー名が返る定
義になっている
• E.g., when user cancelled, when WebAuthn API is not allowed due to lack of associate domain, when
WebAuthn API cannot be used because the app is not in foreground, for all cases, same “NotAllowError” will be
returned.
→ We cannot decide the next behavior only from “error name”, have to understand the reasons by
parsing text-based error message which follows “error name” / エラー名だけでは次の動作が決定できず、そのあ
とに続く文章から理由を見付ける必要がある
21
If some more detailed enumerated error code will be returned from WebAuthn API,
it is better for us! / 詳細にEnum化されたエラーコードが返ってくるとよりintegrationしやすい
22. ©2024 Sony Interactive Entertainment
Cannot delete stored passkey via WebAuthn API / デバイス内
のpasskeyを消せない
⚫ Even user removed passkey which registered in our service, passkey is still stored in the
device as valid passkey for the service. / 使用できるpasskeyをサービスから削除してもデバイス上では正
当なpasskeyとして保存されたまま
⚫ when user re-enabled passkey again on same device, / ユーザが同じ端末で再度passkeyを有効にす
ると
→ On mobile devices, can create new passkey and 2 entries will be listed with same user name, but of
course user cannot signin with previous one. / 同じユーザ名で2つ表示される
→ Via CTAP hybrid flow, cannot create new passkey unless delete the old passkey from the device. / CTAP
hybridの場合、passkeyの新規作成ができない
22
If service can delete the passkeys for the service from the devices (only
if RpId was matched), it is better for us! /
WebAuthn経由でサービスサイドから消せるとなお良い!