俺のSMS認証がこんなに非推奨なわけがない

 俺のSMS認証がこんなに非推奨なわけがない

NISTは本当にSMS認証を非推奨としたのか。真実を追って我々はジャングルに飛び込んでいった...

8/1 13:30: 構成を一部変更・追記

406ea2cac59924cedae4629c3c6c84fb?s=128

Kengo Suzuki

July 31, 2017
Tweet

Transcript

  1. 俺のSMS 認証が こんなに非推奨なわけがない Presented by Kengo Suzuki ( @ken5scal )

    1
  2. 前置き 指摘は @ken5scal 受付中! NIST SP800-63 のうち63b しか読めてないので、 正 確でない可能性があります

    2 要素認証? or 2 段階認証? 本LT では「 2段階認証」 に統一 以降2sv 2
  3. 今日のテー マ 3

  4. NIST SP 800-63 「Digital Identity Guideline」 の 4

  5. SP 800-63B 「Authentication and Lifecycle Management」 における 5 . A

    u t h e n t i c a t o r a n d V e r i f i e r R e q u i r e m e n t s 5
  6. 発端はこれ 出典: https://japan.cnet.com/article/35104345/ 6

  7. こ、 ま? 7

  8. < SMS 認証なんで死んでまうん? 8

  9. 元リンクを見ると 9

  10. 10

  11. 11

  12. !? 12

  13. 古ぅい!!! Preview 版のときのソー ス! Preview 版: 2016/06/~~ パブリック版: 2017/06/22 これで2017/07

    の記事かくなよ~ 13
  14. さらに辿って 米国立標準技術研究所(N I S T ) はS M S による2

    段階認証を非推奨 14
  15. !? 15

  16. 元ソー スがなぁい! 16

  17. 謎 米国立標準技術研究所(N I S T ) はS M S による2

    段階認証を非推奨は 本当なのか 本当であれば代替案はあるのか 本当でなければ、 どんな立ち位置になのか 17
  18. というわけで SP800-63B を読んできたZE! 出典: http://nvlpubs.nist.gov/nistpubs/SpecialPublicat 18

  19. 結果... SMS は非推奨ではない 19

  20. 無制限に 認められてるわけでもない 20

  21. 各ポイント ポイント1: PSTN 経路が対象 ポイント2: 非推奨ではなく制限 ポイント3: 縛りがある 21

  22. ポイント1: PSTN 経路が対象 PSTN: 公衆交換電話網 Preview では、Out-of-Band 認証方式のセカンダリチ ャネルとして、SMS/ 電話方式

    over PSTN だと対象に なる。 Public では全方式 over PSTN が対象。 Use of the PSTN for out-of-band verification is RESTRICTED... “ “ 22
  23. ポイント2: 非推奨ではなく制 限 ☓ 非推奨(Preview 版) : Discouraged ◯ 制限(Public

    版): Restricted Preview では非推奨(Discouraged) だった。Public で は、 制限のある認証方式というカテゴリに分類されてい た。 ちなみに制限に分類された認証方式は他にない。 Use of the PSTN for out-of-band verification is RESTRICTED... “ “ 23
  24. ポイント3: 縛りがある NIST は、 脅威状況やPSTN の運用にあわせて柔軟に 制限を変えると宣言している なお、 制限された認証方式はPSTN による認証方式

    のみ NIST may adjust the RESTRICTED status of the PSTN over time... “ “ 24
  25. 縛りがある( 続) 以下の条件を満たさねばならない(SHALL) 1. 利用者にRESTRICTED 以外の認証方式を1 つ以上 提供しなけれなばらない 2. RESTRICTED

    な認証方式を使う際のリスクおよ びRESTRICTED 以外の認証方式の存在を、 意味 ある形で提供しなければならない 3. リスクアセスメントの結果を利用者に伝えなけ ればならない 4. RESTRICTED な認証方式が将来禁止された時に 備えた移行プランを準備しなければならない 25
  26. むしろ('A`)メンドクセ くなってる 26

  27. どうしてこうなった _ __ ∧ ∧ ∩ / ∥ ̄∥ r (

    ^ ω ^ ) ノ L ∥_∥ └ ┐ レ― 、 |  ̄\ 三/  ̄/ _ ノ⌒ | |/ / ( _ ( 27
  28. こうなるに至った経緯 https://github.com/usnistgov/800-63-3/ issues #1614 pr #1827 Preview では、PSTN の経路(sms or

    voice) が非推奨 Out-of-band authentication using the PSTN (SMS or voice) as an out-of-band channel is discouraged and is being considered for removal “ “ 28
  29. そこにCTIA が噛み付く CTIA: 特に米国の携帯電話事業者が多い業界団体 ノ从从从从ヽ ( ⌒/゙゙゙゙゙゙\⌒) < お前それデー タとって言ってんの?

    ノイ _ _|ヽ < お前それ2 F A 推進派の前でも同じこと言えんの? 彡| ヽ・〉〈・ノ| ミ < お前それ安全なP S T N の前でも同じこと言えんの? 彡| ▼ | ミ 彡ヽ _ 人_ / ミ ` /ヾヽ ` ⌒′ / ツ\ | ヾ ゙゙゙゙゙゙ ツ | | | ヾ 从从ツ | | | ` ― ― ― ― ― ― ⌒) ( \________) (⌒ ノ  ̄|  ̄ ̄ ̄ ̄ ̄ T 29
  30. それに対してNIST が それっておかしくねぇ? じゃあD i s c o u r

    a g e じゃなくすよ 代わりに別項目追加して、 リスクアセスメント必須にするわ あ、 突然禁止にするかもしんないから、 移行プランの計画も必須な スコー プもS M S / 電話だけじゃなくて、 全P S T N に広げとくわ __ / \ / ノ ー ヽ |( ・) ( ・) | | ( | ( O ノ ⊂ ニ ̄ ̄ヽ >― ―  ̄ヽ く) _ ノ| | | ( / | | / | | | | | / | | | ヽ_ / | | | 30
  31. 結果 諸々 が追加される 31

  32. 10 倍になって打ち返された ノ从从从从ヽ ( ⌒/゙゙゙゙゙゙\⌒) ノイ _ _|ヽ 彡| ヽ

    〉〈 ノ| ミ 彡| ▼ | ミ 彡ヽ _ 人_ / ミ < サバンナでもこれはないわ ` /ヾヽ ` ⌒′ / ツ\ | ヾ ゙゙゙゙゙゙ ツ | | | ヾ 从从ツ | | | ` ― ― ― ― ― ― ⌒) ( \________) (⌒ ノ  ̄|  ̄ ̄ ̄ ̄ ̄ T 以降、CTIA のコメントはない 32
  33. 俺たちはどうすればいいか 総務省の28 年版情報通信白書によるとスマホ普及 率72.0% 日本では2010 年~2025 年で、PTSN からIP 移管する 計画?

    http://www.soumu.go.jp/main_content/00011 7833.pdf これはPSTN 経路によるOut-of-Band 認証方式を採 用しないチョイスはなくない? 33
  34. 俺たちはどうすればいいか PSTN 経路使わないOut-Of-Band 認証方式なんてあ りえるのか? QR コー ドもプロンプト形式もPSTN チャネルを 使うことあるんじゃないのか

    Yubikey だって、OTP の送信はPSTN チャネルか もじゃないか ...!!! 34
  35. ひらめいた! | \ _ / _ ( m) _ 目

    ピコーン / ` ′ \ ∧ _ ∧ ( ・∀・∩ ( つ ノ ⊂ _ ノ ( _ ) 35
  36. * * * + うそです n ∧ _∧ n +

    ( ヨ( * ´ ∀` ) E ) Y Y * 36
  37. 結論 2sv における良い解決案はこれから考えます! 私見だが、 ちゃんとNISC の提示する条件をクリ アする他ないと思う... @ken5scal 先生の次回作にご期待ください! とにかく、

    現在、SMS による2sv は非推奨ではない 37
  38. 俺たちの戦いはこれからだ! 38