Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスワードレス認証~入門編~

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for peridotan peridotan
June 14, 2023
Technology
0
280

 パスワードレス認証~入門編~

2023年6月14日(水)に実施したServerless Frontend Meetup #3 「認証・認可」の「パスワードレス認証 ~入門編~」資料です。

Avatar for peridotan

peridotan

June 14, 2023
Tweet

Other Decks in Technology

See All in Technology
OSC仙台プレ勉強会 AlmaLinuxとは
Avatar for koedoyoshida koedoyoshida
0
190
モジュラモノリス導入から4年間の総括:アーキテクチャと組織の相互作用について / Architecture and Organizational Interaction
Avatar for Satoshi Kawashima nazonohito51
1
190
進化するBits AI SREと私と組織
Avatar for 株式会社ヌーラボ nulabinc
PRO
1
240
ReactのdangerouslySetInnerHTMLは“dangerously”だから危険 / Security.any #09 卒業したいセキュリティLT
Avatar for GMO Flatt Security flatt_security
0
310
"作る"から"使われる"へ:Backstage 活用の現在地
Avatar for SoftBank Tech Night sbtechnight
0
190
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/12 - 2026/2
Avatar for oracle4engineer oracle4engineer
PRO
0
170
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
Avatar for kt2 kt2mikan
0
190
複数クラスタ運用と検索の高度化:ビズリーチにおけるElastic活用事例 / ElasticON Tokyo2026
Avatar for Visional Engineering & Design visional_engineering_and_design
0
170
Scrumは歪む — 組織設計の原理原則
Avatar for Daisuke Ashihara dashi
0
200
(Test) ai-meetup slide creation
Avatar for Oikon oikon48
3
440
AI時代の「本当の」ハイブリッドクラウド — エージェントが実現した、あの頃の夢
Avatar for Masahiko Ebisuda ebibibi
0
150
Sansanでの認証基盤内製化と移行
Avatar for SansanTech sansantech
PRO
0
570

Featured

See All Featured
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
74
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
180
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.4k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
71k
Paper Plane (Part 1)
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
5.7k
Visualization
Avatar for Eitan Lees eitanlees
150
17k
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
0
240
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
480
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
89
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.1k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
Avatar for Greg Gifford greggifford
PRO
0
110
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.6k

Transcript

  1. Serverless Frontend Meetup #3 「認証・認可」 パスワードレス認証 ~入門編~ 2023/06/14 橄欖石庵(ぺりどっとあん) 1

  2. 本日のアジェンダ • 自己紹介 • パスワードレス認証 ~入門編~ • おまけ 2

  3. 自己紹介 • 名前:橄欖石庵(ぺりどっとあん) / 斎藤 知明(Tomoaki SAITO) • 生年月日:昭和50年8月14日生まれ(しし座/O型) •

    本業:某SIerでセキュリティコンサル/プリセールス(専門領域:デジタルアイデンティティ)、転職3社目 • エンジニア経験:若いころシステムエンジニア、開発経験ほとんど無し • 社外活動:JNSA デジタルアイデンティティWG所属(啓蒙活動) • 副業:本を書いたりしています(本日は「副業」として登壇) 3 ※画像アイコンは https://ai-art.tokyo/ で 生成しています

  4. パスワードレス認証 ~入門編~ 4

  5. そもそもパスワード認証とは (パスワードレス認証を語る前に) • 認証で使われる要素の一つ • 認証の要素は大きく分けて3種類 ① Something you know(知識認証、とも言います)

    ② Something you have(所持認証/所有者認証、とも言います) ③ Something you are(生体認証、とも言います) • パスワードは「Something you know」 • 非常に有名な認証の要素で、おそらく使ったことがない人はいない、のでは? 5

  6. パスワード認証って、良いの?悪いの? • 良い点(メリット) • 覚えていれば、いつでもどこでも使える • 他の要素(Something you have/are)だと、デバイスとかリーダーとかが必要 •

    基本、紛失することは無い(デバイスやリーダーがないため、盗難の恐れはない) • 悪い点(デメリット) • 紛失はないけど、忘れることはある(入力を間違えることも、ある) • 忘れるのが嫌で(あるいは入力が手間で)、簡単な(覚えやすい)パスワードを設定しがち • 他人に推測されるかも… • Webサービス/クラウドサービス毎に使い分けるのが面倒だと、同じパスワードを使いまわすかも • ID/パスワードが漏洩すると、別のWebサービス/クラウドサービスが侵害されるかも… 6

  7. パスワード認証のデメリット(図解) • パスワードは他の要素と比較すると、盗まれやすい(盗みやすい)傾向があります。 ID/PWD ID/PWD ID/PWD ID/PWD ダークウェブ ID/PWD ID/PWD

    別のクラウド 7 安全太郎(仮)さん

  8. (余談)簡単なパスワード、使ってない? • 「Nord Security」社が、よく使われているパスワードを公開しています。 • https://nordpass.com/most-common-passwords-list/ 8

  9. (余談)そのパスワード、漏洩してるかも? • 「‘;--have i been pwned?」では、パスワードが漏洩しているかどうか、確認できます。 • https://haveibeenpwned.com/ 9

  10. どうすれば認証強化できるの? 10 No. 認証強化方法 説明 1 パスワードポリシー パスワードに利用できる文字列や、パスワード設定時の制約を定義 2 パスワードマネジャー

    アプリやブラウザ拡張でID/パスワードを管理 3 ID連携 SAML/OIDC等を使用し、パスワードの利用機会を低減 ※OIDC…OpenID Connect 4 MFA パスワードの他に、別の要素を使用して認証 ※MFA…Multi-Factor Authentication 5 パスワードレス パスワード以外の要素を使用して認証(パスワードを使用しない)

  11. パスワードレスって、どんなものがあるの? 11 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you

    have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない FIDO2 (関連)

  12. FIDO2は何が良いのか? 12 • 公開鍵暗号方式の鍵を取り出す際のトリガーとして生体認証が使用できる • 生体認証の情報(指紋等のクレデンシャル情報)がインターネット上のサーバに流通(流出)しない

  13. 認証フローの違い(before FIDO) 13 ① ② ③ ✔ ④ ⑤ サーバ(クラウド)上に

    生体情報が保持 ネットワーク(インターネット)上に 生体情報が流通

  14. 認証フローの違い(after FIDO2) 14 ① ② Platform Authenticator User Agent ③

    ⑤ ⑥ ⑧ WebAuthn Relying Party private key public key public key 認証OK Platform Authenticator 認証OK Platform Authenticator 認証OK Platform Authenticator ✔ ⑦ ④ ✔ サーバ(クラウド)上に 生体情報が無い ネットワーク(インターネット)上に 生体情報が流通しない

  15. パスワードレスって、どんなものがあるの? 15 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you

    have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない

  16. FIDO2の課題(シングルデバイス) 16 private key public key × public key ①

    ② ③ ④

  17. Passkeysによる対応(マルチデバイス) 17 private key public key private key public key

    private key public key public key ① ② ③ ④ ① ' ① ''

  18. パスワードレス認証:デモ • デモ自体は結構地味です… • デモ環境のシステム構成図は次の通りです。 18 デモWebサイト (SAML SP) ×NG

    Workforce Identity Cloud SAML ✔OK Password Passwordless ✔OK SAML ユーザー: passless1@p ユーザー: passuser1@p

  19. まとめ 19 • パスワードレス認証とは • パスワードを使用しない認証のこと • 様々な種類があり、今後はFIDO2/Passkeysが主流に • Okta等のIDaaSを活用することで比較的容易にパスワードレス認証を実現

  20. おまけ:参考文献 • NIST SP800-63 • https://pages.nist.gov/800-63-3/ • Okta Developer •

    https://developer.okta.com/ • Yubikey Bio • https://www.yubico.com/yubikey/?lang=ja • RSA Simple Test Service Provider • https://sptest.iamshowcase.com/ • Microsoft Achieves FIDO2 Certification for Windows Hello • https://fidoalliance.org/microsoft-achieves-fido2-certification-for-windows-hello/ • iOSおよびMacOSにおいてFIDO認証をサポート • https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos-jp/?lang=ja • Apple、Google、Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明 • https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 20

  21. おまけ:わたくしごと • 本、出しています • 同人誌が中心ですが、商業誌もあります。 • 技術書典:橄欖石庵:https://techbookfest.org/organization/98FQw8FY5zP58bgzPMpPf6 • ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証

    【電子書籍のみ】 • Git for Windows + Re:VIEWで電子書籍を作ろう 【電子書籍のみ】 • インプレス NextPublishing:https://nextpublishing.jp/book/16438.html • 実践入門ユーザー認証 試して学ぶパスワードレス 【電子書籍】【紙書籍】 • 同人誌の「ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証」と商業誌の「実践入門ユーザー認証 試して学ぶ パスワードレス」は中身一緒です(購入時はご注意ください!) • Twitter/GitHubのアカウント持ってます。 • https://twitter.com/peridotan • https://github.com/peridotan 21

  22. ご清聴 ありがとうございました! 22