Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~

Auth屋
January 29, 2023

OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~

2023/01/28 オープンソースカンファレンス大阪で発表したスライドです。
目次
1部 パスワード認証の課題
2部 ソーシャルログインのすすめ
3部 IDaaSのすすめ

Auth屋

January 29, 2023
Tweet

More Decks by Auth屋

Other Decks in Programming

Transcript

  1. 課題1 | パスワードを忘れる 対策 • リカバリー ◦ 何ら の理由でログインで ない状態を正常な状態に戻すプロセス

    ◦ ログインとは別のユーザー認証 + ログイン認証情報の更新 • パスワード認証のリカバリー ◦ メール認証 + パスワード再設定 実質的にもう一つの認証が必要 10
  2. 対策 | 2要素認証 2要素認証 = 異なる2つの要素を組み合わせた認証 知識 | ユーザーが記憶している情報 パスワード、暗証番号

    所有 | ユーザーの所有物 メールやSMSを受け取れる端末、モバイルアプリ インストールされた端末 生体 | ユーザーの身体的特徴 指紋、顔、網膜 14
  3. 対策 | FIDO認証 FIDO認証とは • Fast IDentity Onlineの略 • 脱パスワード認証として提唱

    • ユーザーとサーバーで秘密の情報を共有しない • 手元の認証器(指紋、顔認識、PIN入力など)にて認証 21
  4. まとめ | パスワード認証の課題 課題 攻撃 対策 パスワードを忘れる - リカバリーの提供 パスワードの使い回し

    パスワードリスト攻撃 2要素認証 推測されやすい パスワードの利用 パスワードスプレー攻撃 2要素認証 フィッシングアプリへの パスワード入力 フィッシング攻撃 FIDO認証 24
  5. IDとは? Identity • ユーザーの属性情報 • 「IdP」、「ID連携」、「ID管理」 • 本資料にでて る「ID」はすべてこちら Identifier

    • 識別子 • 「ユーザーID」、「クライアントID」 • 本資料では「ユーザー識別子」として表記 30
  6. 留意点1 | IdPごとに仕組み 微妙に異なる IdP 仕組み Google OpenID Connect Twitter

    OAuth1.0a / OAuth2.0 ベースの独自仕様 FaceBook OAuth2.0 ベースの独自仕様 Apple OpenID Connect(独自拡張あり) 36
  7. まとめ | ソーシャルログインのすすめ ユーザーのメリット 1. 新しいパスワード 必要ない 2. 初期登録の手間 少ない

    開発者のメリット 1. ユーザー認証を自前で実装する必要 な なる 2. IdPの高度な認証方式を取り込める 3. 登録時の離脱率を低減で る 留意点 1. IdPごとに仕組み 微妙に異なる 2. リカバリーの実装 必要 3. ID管理の各種機能の実装 必要 46
  8. まとめ | ソーシャルログインのすすめ ユーザーのメリット 1. 新しいパスワード 必要ない 2. 初期登録の手間 少ない

    開発者のメリット 1. ユーザー認証を自前で実装する必要 な なる 2. IdPの高度な認証方式を取り込める 3. 登録時の離脱率を低減で る 留意点 1. IdPごとに仕組み 微妙に異なる 2. リカバリーの実装 必要 3. ID管理の各種機能の実装 必要 IDaaSで対応 47
  9. IDaaSとは 何の略 • Identity as a Serviceの略 以下の機能を提供するクラウドサービス • ログイン機能

    • ID管理機能 • 外部サービスとのID連携機能 • ユーザーの権限・状態に応じたアクセス制御 49
  10. 全体まとめ パスワード認証はつらい • パスワードリスト・スプレー攻撃対策としての2要素認証 • フィッシングのことまで考えるとFIDO認証 • リカバリーも必要 ソーシャルログインのすすめ •

    ユーザー認証をIdPに ま せで る IDaaSのすすめ • ソーシャルログインの仕組みの違いを吸収 • リカバリーのための認証を提供 • ID管理機能を提供 62
  11. 宣伝 | ソーシャルログイン本 内容 • 今回の発表内容 • Firebase Authenticationでサンプルアプリを作 りな

    らソーシャルログイン、ID管理を学ぶ • Firebase Authentication 単体での使い方 63