パスワードレス認証～入門編～

Transcript

1. Serverless Frontend Meetup #3 「認証・認可」 パスワードレス認証 ～入門編～ 2023/06/14 橄欖石庵（ぺりどっとあん） 1

2. 本日のアジェンダ • 自己紹介 • パスワードレス認証 ～入門編～ • おまけ 2

3. 自己紹介 • 名前：橄欖石庵（ぺりどっとあん） / 斎藤 知明（Tomoaki SAITO） • 生年月日：昭和50年8月14日生まれ（しし座/O型） •

   本業：某SIerでセキュリティコンサル/プリセールス（専門領域：デジタルアイデンティティ）、転職3社目 • エンジニア経験：若いころシステムエンジニア、開発経験ほとんど無し • 社外活動：JNSA デジタルアイデンティティWG所属（啓蒙活動） • 副業：本を書いたりしています（本日は「副業」として登壇） 3 ※画像アイコンは https://ai-art.tokyo/ で 生成しています

4. パスワードレス認証 ～入門編～ 4

5. そもそもパスワード認証とは （パスワードレス認証を語る前に） • 認証で使われる要素の一つ • 認証の要素は大きく分けて3種類 ① Something you know（知識認証、とも言います）

   ② Something you have（所持認証/所有者認証、とも言います） ③ Something you are（生体認証、とも言います） • パスワードは「Something you know」 • 非常に有名な認証の要素で、おそらく使ったことがない人はいない、のでは？ 5

6. パスワード認証って、良いの？悪いの？ • 良い点（メリット） • 覚えていれば、いつでもどこでも使える • 他の要素（Something you have/are）だと、デバイスとかリーダーとかが必要 •

   基本、紛失することは無い（デバイスやリーダーがないため、盗難の恐れはない） • 悪い点（デメリット） • 紛失はないけど、忘れることはある（入力を間違えることも、ある） • 忘れるのが嫌で（あるいは入力が手間で）、簡単な（覚えやすい）パスワードを設定しがち • 他人に推測されるかも… • Webサービス/クラウドサービス毎に使い分けるのが面倒だと、同じパスワードを使いまわすかも • ID/パスワードが漏洩すると、別のWebサービス/クラウドサービスが侵害されるかも… 6

7. パスワード認証のデメリット（図解） • パスワードは他の要素と比較すると、盗まれやすい（盗みやすい）傾向があります。 ID/PWD ID/PWD ID/PWD ID/PWD ダークウェブ ID/PWD ID/PWD

   別のクラウド 7 安全太郎（仮）さん

8. （余談）簡単なパスワード、使ってない？ • 「Nord Security」社が、よく使われているパスワードを公開しています。 • https://nordpass.com/most-common-passwords-list/ 8

9. （余談）そのパスワード、漏洩してるかも？ • 「‘;--have i been pwned?」では、パスワードが漏洩しているかどうか、確認できます。 • https://haveibeenpwned.com/ 9

10. どうすれば認証強化できるの？ 10 No. 認証強化方法 説明 1 パスワードポリシー パスワードに利用できる文字列や、パスワード設定時の制約を定義 2 パスワードマネジャー

    アプリやブラウザ拡張でID/パスワードを管理 3 ID連携 SAML/OIDC等を使用し、パスワードの利用機会を低減 ※OIDC…OpenID Connect 4 MFA パスワードの他に、別の要素を使用して認証 ※MFA…Multi-Factor Authentication 5 パスワードレス パスワード以外の要素を使用して認証（パスワードを使用しない）

11. パスワードレスって、どんなものがあるの？ 11 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証（Something you

    have/areなど） ※パスワードはSomething you know 2 FIDO （ファイド） FIDOアライアンスが策定したパスワードレス規格（公開鍵暗号方式を採用） FIDO UAF、FIDO U2F、FIDO2などがある（FIDO2が主流） 3 WebAuthn （ウェブオースン） Webアプリ向けのパスワードレス規格（W3Cが勧告） FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証（FIDO2認定を取得） クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys （パスキー） 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報（クレデンシャル）を別のデバイスで利用できない FIDO2 （関連）

12. FIDO2は何が良いのか？ 12 • 公開鍵暗号方式の鍵を取り出す際のトリガーとして生体認証が使用できる • 生体認証の情報（指紋等のクレデンシャル情報）がインターネット上のサーバに流通（流出）しない

13. 認証フローの違い（before FIDO） 13 ① ② ③ ✔ ④ ⑤ サーバ（クラウド）上に

    生体情報が保持 ネットワーク（インターネット）上に 生体情報が流通

14. 認証フローの違い（after FIDO2） 14 ① ② Platform Authenticator User Agent ③

    ⑤ ⑥ ⑧ WebAuthn Relying Party private key public key public key 認証OK Platform Authenticator 認証OK Platform Authenticator 認証OK Platform Authenticator ✔ ⑦ ④ ✔ サーバ（クラウド）上に 生体情報が無い ネットワーク（インターネット）上に 生体情報が流通しない

15. パスワードレスって、どんなものがあるの？ 15 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証（Something you

    have/areなど） ※パスワードはSomething you know 2 FIDO （ファイド） FIDOアライアンスが策定したパスワードレス規格（公開鍵暗号方式を採用） FIDO UAF、FIDO U2F、FIDO2などがある（FIDO2が主流） 3 WebAuthn （ウェブオースン） Webアプリ向けのパスワードレス規格（W3Cが勧告） FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証（FIDO2認定を取得） クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys （パスキー） 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報（クレデンシャル）を別のデバイスで利用できない

16. FIDO2の課題（シングルデバイス） 16 private key public key × public key ①

    ② ③ ④

17. Passkeysによる対応（マルチデバイス） 17 private key public key private key public key

    private key public key public key ① ② ③ ④ ① ' ① ''

18. パスワードレス認証：デモ • デモ自体は結構地味です… • デモ環境のシステム構成図は次の通りです。 18 デモWebサイト （SAML SP） ×NG

    Workforce Identity Cloud SAML ✔OK Password Passwordless ✔OK SAML ユーザー： passless1@p ユーザー： passuser1@p

19. まとめ 19 • パスワードレス認証とは • パスワードを使用しない認証のこと • 様々な種類があり、今後はFIDO2/Passkeysが主流に • Okta等のIDaaSを活用することで比較的容易にパスワードレス認証を実現

20. おまけ：参考文献 • NIST SP800-63 • https://pages.nist.gov/800-63-3/ • Okta Developer •

    https://developer.okta.com/ • Yubikey Bio • https://www.yubico.com/yubikey/?lang=ja • RSA Simple Test Service Provider • https://sptest.iamshowcase.com/ • Microsoft Achieves FIDO2 Certification for Windows Hello • https://fidoalliance.org/microsoft-achieves-fido2-certification-for-windows-hello/ • iOSおよびMacOSにおいてFIDO認証をサポート • https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos-jp/?lang=ja • Apple、Google、Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明 • https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 20

21. おまけ：わたくしごと • 本、出しています • 同人誌が中心ですが、商業誌もあります。 • 技術書典：橄欖石庵：https://techbookfest.org/organization/98FQw8FY5zP58bgzPMpPf6 • ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証

    【電子書籍のみ】 • Git for Windows + Re:VIEWで電子書籍を作ろう 【電子書籍のみ】 • インプレス NextPublishing：https://nextpublishing.jp/book/16438.html • 実践入門ユーザー認証 試して学ぶパスワードレス 【電子書籍】【紙書籍】 • 同人誌の「ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証」と商業誌の「実践入門ユーザー認証 試して学ぶ パスワードレス」は中身一緒です（購入時はご注意ください！） • Twitter/GitHubのアカウント持ってます。 • https://twitter.com/peridotan • https://github.com/peridotan 21

22. ご清聴 ありがとうございました！ 22