Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Serverless Frontend Meetup パスワード認証は人類には早すぎる ~ I...

Serverless Frontend Meetup パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~

2023/06/14 Serverless Frontend Meetup で発表したスライドです。
内容は ソーシャルログイン本 (https://www.amazon.co.jp/dp/B0BJCJJW8W)の1章の抜粋になります

Auth屋

June 19, 2023
Tweet

More Decks by Auth屋

Other Decks in Programming

Transcript

  1. 課題1 | パスワードを忘れる 対策 • リカバリー ◦ 何らかの理由でログインできない状態を正常な状態に戻すプロセス ◦ ログインとは別のユーザー認証

    + ログイン認証情報の更新 • パスワード認証のリカバリー ◦ メール認証 + パスワード再設定 実質的にもう一つの認証が必要 12
  2. 対策 | 2要素認証 2要素認証 = 異なる2つの要素を組み合わせた認証 知識 | ユーザーが記憶している情報 パスワード、暗証番号

    所有 | ユーザーの所有物 メールやSMSを受け取れる端末、モバイルアプリがインストールされた端末 生体 | ユーザーの身体的特徴 指紋、顔、網膜 16
  3. 対策 | FIDO認証 FIDO認証とは • Fast IDentity Onlineの略 • 脱パスワード認証として提唱

    • ユーザーとサーバーで秘密の情報を共有しない • 手元の認証器(指紋、顔認識、PIN入力など)にて認証 23
  4. まとめ | パスワード認証の課題 課題 攻撃 対策 パスワードを忘れる - リカバリーの提供 パスワードの使い回し

    パスワードリスト攻撃 2要素認証 推測されやすい パスワードの利用 パスワードスプレー攻撃 2要素認証 フィッシングアプリへの パスワード入力 フィッシング攻撃 FIDO認証 26
  5. 用語 Identity Provider ( IdP ) ソーシャルログインを提供するサービス リライングパーティ( RP )

    ソーシャルログインを利用するアプリ ID連携 ソーシャルログイン = アイデンティティ(ユーザーの属性情報)を活用する仕組み 31
  6. 留意点1 | IdPごとに仕組みが微妙に異なる IdP 仕組み Google OpenID Connect Twitter OAuth1.0a

    / OAuth2.0 ベースの独自仕様 FaceBook OAuth2.0 ベースの独自仕様 Apple OpenID Connect(独自拡張あり) 37
  7. IDaaSとは 何の略 • Identity as a Serviceの略 以下の機能を提供するクラウドサービス • ログイン機能

    • ID管理機能 • 外部サービスとのID連携機能 • ユーザーの権限・状態に応じたアクセス制御 45
  8. 2種類のIDaaS • コンシューマーアプリ向け ◦ Firebase Authentication ◦ Auth0 ◦ AWS

    Cognito ◦ Azure Active Directory BtoC • 企業システム向け ◦ Okta ◦ OneLogin ◦ Azure Active Directory 46
  9. 2種類のIDaaS • コンシューマー向け ◦ Firebase Authentication ◦ Auth0 ◦ AWS

    Cognito ◦ Azure Active Directory BtoC • 企業システム向け ◦ Okta ◦ OneLogin ◦ Azure Active Directory 47
  10. 全体まとめ パスワード認証はつらい • パスワードリスト・スプレー攻撃対策としての2要素認証 • フィッシングのことまで考えるとFIDO認証 • リカバリーも必要 ソーシャルログインのすすめ •

    ユーザー認証をIdPにおまかせできる IDaaSのすすめ • ソーシャルログインの仕組みの違いを吸収 • リカバリーのための認証を提供 • ID管理機能を提供 56
  11. まとめ | ソーシャルログインのすすめ ユーザーのメリット 1. 新しいパスワードが必要ない 2. 初期登録の手間が少ない 開発者のメリット 1.

    ユーザー認証を自前で実装する必要がなくなる 2. IdPの高度な認証方式を取り込める 3. 登録時の離脱率を低減できる 留意点 1. IdPごとに仕組みが微妙に異なる 2. リカバリーの実装が必要 3. ID管理の各種機能の実装が必要 62
  12. まとめ | ソーシャルログインのすすめ ユーザーのメリット 1. 新しいパスワードが必要ない 2. 初期登録の手間が少ない 開発者のメリット 1.

    ユーザー認証を自前で実装する必要がなくなる 2. IdPの高度な認証方式を取り込める 3. 登録時の離脱率を低減できる 留意点 1. IdPごとに仕組みが微妙に異なる 2. リカバリーの実装が必要 3. ID管理の各種機能の実装が必要 IDaaSで対応 63
  13. 用語 Identity Provider ( IdP ) ソーシャルログインを提供するサービス リライングパーティ( RP )

    ソーシャルログインを利用するアプリ ID連携 ソーシャルログイン = アイデンティティ(ユーザーの属性情報)を活用する仕組み 64
  14. IDとは? Identity • ユーザーの属性情報 • 「IdP」、「ID連携」、「ID管理」 • 本資料にでてくる「ID」はすべてこちら Identifier •

    識別子 • 「ユーザーID」、「クライアントID」 • 本資料では「ユーザー識別子」として表記 66
  15. 74