Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
パスワードレス認証~入門編~
Search
peridotan
June 14, 2023
Technology
0
150
パスワードレス認証~入門編~
2023年6月14日(水)に実施したServerless Frontend Meetup #3 「認証・認可」の「パスワードレス認証 ~入門編~」資料です。
peridotan
June 14, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
3
620
開発パフォーマンスを最大化するための開発体制
ham0215
7
1.1k
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
1
360
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
DMM.com アルファ室採用案内資料
hsugita
1
220
AOAI をきっかけに 社内の Azure 管理を見直した話
recruitengineers
PRO
1
450
今年のRubyKaigiはProfiler Year🤘
osyoyu
0
350
【SORACOM UG 東海】あらゆるモノがつながる社会へ、IoT と SORACOM
soracom
PRO
1
140
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
150
データベース02: データベースの概念
trycycle
0
180
Max out Local LLM in Challenging Environments
sashimimochi
1
100
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
270
Featured
See All Featured
Designing with Data
zakiwarfel
96
4.8k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Thoughts on Productivity
jonyablonski
60
3.9k
Why Our Code Smells
bkeepers
PRO
331
56k
Navigating Team Friction
lara
179
13k
The MySQL Ecosystem @ GitHub 2015
samlambert
244
12k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
21
1.9k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Embracing the Ebb and Flow
colly
80
4.2k
Adopting Sorbet at Scale
ufuk
69
8.6k
Transcript
Serverless Frontend Meetup #3 「認証・認可」 パスワードレス認証 ~入門編~ 2023/06/14 橄欖石庵(ぺりどっとあん) 1
本日のアジェンダ • 自己紹介 • パスワードレス認証 ~入門編~ • おまけ 2
自己紹介 • 名前:橄欖石庵(ぺりどっとあん) / 斎藤 知明(Tomoaki SAITO) • 生年月日:昭和50年8月14日生まれ(しし座/O型) •
本業:某SIerでセキュリティコンサル/プリセールス(専門領域:デジタルアイデンティティ)、転職3社目 • エンジニア経験:若いころシステムエンジニア、開発経験ほとんど無し • 社外活動:JNSA デジタルアイデンティティWG所属(啓蒙活動) • 副業:本を書いたりしています(本日は「副業」として登壇) 3 ※画像アイコンは https://ai-art.tokyo/ で 生成しています
パスワードレス認証 ~入門編~ 4
そもそもパスワード認証とは (パスワードレス認証を語る前に) • 認証で使われる要素の一つ • 認証の要素は大きく分けて3種類 ① Something you know(知識認証、とも言います)
② Something you have(所持認証/所有者認証、とも言います) ③ Something you are(生体認証、とも言います) • パスワードは「Something you know」 • 非常に有名な認証の要素で、おそらく使ったことがない人はいない、のでは? 5
パスワード認証って、良いの?悪いの? • 良い点(メリット) • 覚えていれば、いつでもどこでも使える • 他の要素(Something you have/are)だと、デバイスとかリーダーとかが必要 •
基本、紛失することは無い(デバイスやリーダーがないため、盗難の恐れはない) • 悪い点(デメリット) • 紛失はないけど、忘れることはある(入力を間違えることも、ある) • 忘れるのが嫌で(あるいは入力が手間で)、簡単な(覚えやすい)パスワードを設定しがち • 他人に推測されるかも… • Webサービス/クラウドサービス毎に使い分けるのが面倒だと、同じパスワードを使いまわすかも • ID/パスワードが漏洩すると、別のWebサービス/クラウドサービスが侵害されるかも… 6
パスワード認証のデメリット(図解) • パスワードは他の要素と比較すると、盗まれやすい(盗みやすい)傾向があります。 ID/PWD ID/PWD ID/PWD ID/PWD ダークウェブ ID/PWD ID/PWD
別のクラウド 7 安全太郎(仮)さん
(余談)簡単なパスワード、使ってない? • 「Nord Security」社が、よく使われているパスワードを公開しています。 • https://nordpass.com/most-common-passwords-list/ 8
(余談)そのパスワード、漏洩してるかも? • 「‘;--have i been pwned?」では、パスワードが漏洩しているかどうか、確認できます。 • https://haveibeenpwned.com/ 9
どうすれば認証強化できるの? 10 No. 認証強化方法 説明 1 パスワードポリシー パスワードに利用できる文字列や、パスワード設定時の制約を定義 2 パスワードマネジャー
アプリやブラウザ拡張でID/パスワードを管理 3 ID連携 SAML/OIDC等を使用し、パスワードの利用機会を低減 ※OIDC…OpenID Connect 4 MFA パスワードの他に、別の要素を使用して認証 ※MFA…Multi-Factor Authentication 5 パスワードレス パスワード以外の要素を使用して認証(パスワードを使用しない)
パスワードレスって、どんなものがあるの? 11 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you
have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない FIDO2 (関連)
FIDO2は何が良いのか? 12 • 公開鍵暗号方式の鍵を取り出す際のトリガーとして生体認証が使用できる • 生体認証の情報(指紋等のクレデンシャル情報)がインターネット上のサーバに流通(流出)しない
認証フローの違い(before FIDO) 13 ① ② ③ ✔ ④ ⑤ サーバ(クラウド)上に
生体情報が保持 ネットワーク(インターネット)上に 生体情報が流通
認証フローの違い(after FIDO2) 14 ① ② Platform Authenticator User Agent ③
⑤ ⑥ ⑧ WebAuthn Relying Party private key public key public key 認証OK Platform Authenticator 認証OK Platform Authenticator 認証OK Platform Authenticator ✔ ⑦ ④ ✔ サーバ(クラウド)上に 生体情報が無い ネットワーク(インターネット)上に 生体情報が流通しない
パスワードレスって、どんなものがあるの? 15 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you
have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない
FIDO2の課題(シングルデバイス) 16 private key public key × public key ①
② ③ ④
Passkeysによる対応(マルチデバイス) 17 private key public key private key public key
private key public key public key ① ② ③ ④ ① ' ① ''
パスワードレス認証:デモ • デモ自体は結構地味です… • デモ環境のシステム構成図は次の通りです。 18 デモWebサイト (SAML SP) ×NG
Workforce Identity Cloud SAML ✔OK Password Passwordless ✔OK SAML ユーザー: passless1@p ユーザー: passuser1@p
まとめ 19 • パスワードレス認証とは • パスワードを使用しない認証のこと • 様々な種類があり、今後はFIDO2/Passkeysが主流に • Okta等のIDaaSを活用することで比較的容易にパスワードレス認証を実現
おまけ:参考文献 • NIST SP800-63 • https://pages.nist.gov/800-63-3/ • Okta Developer •
https://developer.okta.com/ • Yubikey Bio • https://www.yubico.com/yubikey/?lang=ja • RSA Simple Test Service Provider • https://sptest.iamshowcase.com/ • Microsoft Achieves FIDO2 Certification for Windows Hello • https://fidoalliance.org/microsoft-achieves-fido2-certification-for-windows-hello/ • iOSおよびMacOSにおいてFIDO認証をサポート • https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos-jp/?lang=ja • Apple、Google、Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明 • https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 20
おまけ:わたくしごと • 本、出しています • 同人誌が中心ですが、商業誌もあります。 • 技術書典:橄欖石庵:https://techbookfest.org/organization/98FQw8FY5zP58bgzPMpPf6 • ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証
【電子書籍のみ】 • Git for Windows + Re:VIEWで電子書籍を作ろう 【電子書籍のみ】 • インプレス NextPublishing:https://nextpublishing.jp/book/16438.html • 実践入門ユーザー認証 試して学ぶパスワードレス 【電子書籍】【紙書籍】 • 同人誌の「ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証」と商業誌の「実践入門ユーザー認証 試して学ぶ パスワードレス」は中身一緒です(購入時はご注意ください!) • Twitter/GitHubのアカウント持ってます。 • https://twitter.com/peridotan • https://github.com/peridotan 21
ご清聴 ありがとうございました! 22