パスワードレス認証 / FIDO｜ミツエーリンクスTSD

パスワードレス認証 / FIDO 1 / 45

きっかけ Yahoo! JAPAN はパスワードレス認証で問い合わせを 25% 削減、ログイン時間も 2.6 倍速に https://web.dev/i18n/ja/yahoo-japan-identity-case-study/ 2
/ 45

最近ではこんな記事も https://www.publickey1.jp/blog/22/lastpass1passwordfidowebauthn.html パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか？ 3 / 45

パスワードレス認証とはパスワードを送信しない認証 ※「パスワードが必要ない認証」とは若干異なります 4 / 45

パスワードレス認証導入事例 Yahoo! LINE SBI証券 GitHub etc. 5 / 45

事例 Yahoo! すでに ID と生体認証の紐づけが完了していれば、1ステップで https://about.yahoo.co.jp/info/blog/20200914/passwordless.html 6 / 45

パスワード認証の課題 https://www.nri-secure.co.jp/blog/what-is-webauthn 複数のパスワードを記憶する必要があり忘れてしまう。再発行手続きが面倒推測されやすいパスワードを設定していたために、不正にログインされるブルートフォースやリスト型攻撃による被害フィッシングや中間者攻撃による被害サービス提供者側から認証情報が漏洩する可能性 7 / 45

パスワードをやめたい覚えるのがめんどう所詮は文字列。推測されてしまう 8 / 45

では、どうやって？ 9 / 45

パスワードではなく、本人と特定できる情報生体認証指紋 / Touch ID 顔 / Face ID
セキュリティキー https://ftsafe.co.jp/solutions/security_device/ 10 / 45

パスワードを覚える必要はなくなった 11 / 45

ただ、上記を直接サーバに送って盗まれたら意味ない 12 / 45

加えて、数あるサービスに同じ生体認証やセキュリティキーを利用するわけにはいかない 13 / 45

なので秘密の情報は生体認証やセキュリティキー（認証機）側で管理しましょう認証機が各サービスごとに固有の秘密の鍵を提供するようにしましょう秘密の鍵を直接サーバに送らなくてもいいような認証方式と規格（プロトコル）を作りましょう色々なデバイス（iPhone / Android etc.）で認証機とのやりとの方法がばらばらだと実装するなると大変なので、統一した規格にしましょう 14
/ 45

イメージ認証 (iPhone)が Website ごとに固有の鍵（Attestation / 証明書のようなもの）を発行 https://developer.apple.com/videos/play/wwdc2020/10670/ 15
/ 45

キーワード FIDO WebAuthn 16 / 45

FIDO ファイドと呼びます Fast IDentity Online の略 17 / 45

FIDO とは従来のパスワードに代わる認証規格を策定する業界団体のこと認証技術の規格の呼び名でもあるようです厳密には FIDO UAF, FIDO U2F, etc.
Microsoft, Google, Apple が策定やサポートに関わっています 18 / 45

FIDO の特徴生体認証やセキュリティキー(USB)など特別な端末（認証機）を利用するサーバとユーザで秘密の情報を共有しないパスワードを送信しない / パスワードレス公開鍵認証方式と同じ原理 ※ 公開鍵認証方式で課題の解決に
※ ただ、お手軽ではありませんでした 19 / 45

FIDO2 FIDO をより利用しやすくウェブブラウザ上だけで完結、特別な端末は不要 20 / 45

スマホではブラウザ上だけで完結 https://about.yahoo.co.jp/info/blog/20200914/passwordless.html 21 / 45

PC ではどうなるか PC には基本、認証機は付いてないので、別の認証機と連携が求められます（Roaming Authenticators と呼ばれています） PC Chrome <->
USB KEY PC Chrome <-> Android Device PC Safari <-> iPhone 22 / 45

WebAuthn ウェブオースンと呼びます Web Authentication の略 FIDO 認証技術に関する WEB API 仕様（Web標準
/ W3C） Web標準なので、正式に勧告されると、すべてのブラウザで実装されることになる可能性が大きい is a JavaScript API Specification 23 / 45

WebAuthn guide https://webauthn.guide/ 24 / 45

WebAuthn 流れ（２つ） https://www.w3.org/TR/webauthn-2/#sctn-api 登録 / Registration ## 初回だけ認証 /
Authentication / Assertion ## 2回目以降 25 / 45

WebAuthn 登場人物 Relying Party Public key credential Authenticator Attestation 26
/ 45

Relying Party 略 RP 私たちが利用する Web サイトのこと 27 / 45

Public key credential JavaScript API により生成される公開鍵 28 / 45

Authenticator 認証機秘密鍵を生成管理するデバイス iPhone / Touch ID, Face ID Android
29 / 45

Attestation アテステーション Authenticator から生成される証明書みたいなもの 30 / 45

さらに詳しく https://techblog.raccoon.ne.jp/archives/1594945638.html 「FIDO２の登録と認証の流れを解説」から登録時に秘密鍵はサーバ側に送信していない（重要）ことが確認できるまた、2回目以降は登録時に作成した鍵で認証するので、ユーザ情報 / 公開鍵などの送信は不要になる 31
/ 45

Implementation | 実装 JavaScript APIs PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() 利用できるかどうか navigator.credentials.create() ## 登録
navigator.credentials.get() ## 認証 32 / 45

PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() WebAuthn が利用できるかどうか const isAvailable = await PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() if (isAvailabe)
{ // 処理を続ける } 33 / 45

navigator.credentials.create() / 登録認証機に対して、公開鍵の作成を要求します const credential = await navigator.credentials.create({ publicKey:
publicKeyCredentialCreationOptions }); publicKey: 公開鍵作成オプション 34 / 45

publicKeyCredentialCreationOptions 公開鍵作成オプションの詳細（必須、オプションあり） const publicKeyCredentialCreationOptions = { challenge: Uint8Array.from( "サーバから送信されたランダム文字列(チャレンジ)", c
=> c.charCodeAt(0)), rp: { /* 利用するサイトの情報 */ name: "ミツエーリンクス", id: "mitsue.co.jp", }, user: { /* 利用するユーザの情報 */ id: Uint8Array.from( "UZSL85T9AFC", c => c.charCodeAt(0)), name: "[email protected]", displayName: "Lee", }, pubKeyCredParams: [{alg: -7, type: "public-key"}], authenticatorSelection: { authenticatorAttachment: "cross-platform", }, attestation: "direct" }; const credential = await navigator.credentials.create({ publicKey: publicKeyCredentialCreationOptions }); 35 / 45

認証が完了するとクレデンシャル（公開鍵）がクライアント側で作成される（credential に結果が格納されます） console.log(credential); PublicKeyCredential { id: 'ADSUllKQmbqdGtpu4sjseh4cg2TxSvrbcHDTBsv4NSSX9...', rawId: ArrayBuffer,
response: AuthenticatorAttestationResponse { clientDataJSON: ArrayBuffer(121), attestationObject: ArrayBuffer(306), }, type: 'public-key' } 36 / 45

サーバに返却作成された公開鍵などをサーバ側に返却するサーバ側はすべての情報を検証し問題なければ公開鍵を保存紐づけを完了する 37 / 45

navigator.credentials.get() / 認証 const credential = await navigator.credentials.get({ publicKey: publicKeyCredentialRequestOptions
}); 38 / 45

publicKeyCredentialRequestOptions const publicKeyCredentialRequestOptions = { challenge: Uint8Array.from( "サーバから送信されたランダム文字列(チャレンジ)", c =>
c.charCodeAt(0)), allowCredentials: [{ id: Uint8Array.from( credentialId, c => c.charCodeAt(0)), type: 'public-key', transports: ['usb', 'ble', 'nfc'], }], timeout: 60000, } const assertion = await navigator.credentials.get({ publicKey: publicKeyCredentialRequestOptions }); 39 / 45

demo https://webauthn.io/ 40 / 45

Platform Support https://webauthn.me/browser-support Google Chrome Mozilla Firefox Microsoft Edge Apple
Safari as well as Windows 10 and Android platforms 41 / 45

まとめ FIDO/WebAuthnのメリットパスワードを覚えておく必要がなく、同じ認証方法で複数のサービスが利用できる他人がなりすまして不正にログインすることが困難になる認証に必要な機密情報がネットワーク上を流れないので、フィッシングや中間者攻撃の脅威が無いサービス提供者から認証に必要な情報が漏洩することがない 42 / 45

課題1：開発コストが見通しにくい事例もまだまだ少ない検証も必要 OAuth みたいに 3rd Party が API 提供してくれれば
( Google / Microsoft / Auth0 ) 43 / 45

課題2：デバイス紛失機種変更したらどうする？と同じ SBI証券の取り組み例 https://faq.sbisec.co.jp/answer/6189c35a827f3a001c9277a3 スマートフォンの機種変更、もしくはスマートフォンを紛失し、新しいスマートフォンでSBI証券スマートアプリの利用をご希望の際は、特別な操作を行っていただく必要はございません。新しいスマートフォンからSBI証券スマートアプリでログインし、認証設定を行うことで新しいスマートフォンでFIDO(スマホ認証)を利用することができます。
44 / 45

ご清聴ありがとうございました。 45 / 45

パスワードレス認証 / FIDO｜ミツエーリンクスTSD

パスワードレス認証 / FIDO｜ミツエーリンクスTSD

More Decks by ミツエーリンクスTSD

Other Decks in Technology

Featured

Transcript