Multi-factor authentication

Transcript

1. Multi-factor authentication 利用中のWEBサービスで「多要素認証」をもくもくと確認する話

2. 自己紹介 • 小田原 進 • 株式会社 エス・テー・ラボ • よく書く言語：C方言語、C# •

   Excel方眼紙、VBA、SJIS、32bit撲滅運動中

3. 利用中のWEBサービスで「多要素認証」を もくもくと確認する話 ID、パスワードでWEBサービスを利用しているけど 多要素認証ができるサービスは設定するように頑張る。

4. Google

5. Amazon

6. さくらインターネット

7. Facebook

8. Twitter

9. GitHub

10. GitLab.com

11. Apple

12. Microsoft アカウント

13. Slack

14. Heroku

15. Twilio

16. tumblr

17. Evernote

18. クロネコメンバーズ

19. Bitbucket

20. 利用してないけど、AWS

21. 利用してないけど、Dropbox

22. 利用してないけど、box

23. 利用してないけど、DigitalOcean

24. サービスじゃないけど、Wordpress

25. サービスじゃないけど、Linux

26. 多要素認証になって欲しい、サービス • PayPal日本 • 楽天 • JR九州WEB会員サービス

27. ワンタイムパスワードを発行してくれる アプリ 使ってるアプリはGoogle Authenticatorです。 他にも色々有るらしい。 • Authy • IIJ SmartKey

    • Microsoft Authenticator • Salesforce Authenticator • etc

28. Google Authenticatorの仕組み RFC 6238 Time-based One-Time Password algorithm (TOTP) サーバとクライアントで共有する秘密鍵と現在時刻から、確認コードを計算するアル

    ゴリズム。 コピペ元：https://sekika.github.io/2016/03/26/GoogleAuthenticator/ 秘密鍵 カウンター

29. Google Authenticatorの落とし穴 秘密鍵がモバイル端末にしか保存されないので端末が起動しないと コードが取得できなくなる。

30. 落とし穴への対策 • 秘密鍵をQRコードでエクスポートできるアプリを検討。 • SMSや音声通話による多要素認証を設定。 • 複数の端末でQRコード、秘密鍵を登録。 • バックアップコードを印刷しておく。

31. ありがとうございます