Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
パスワードレス認証~入門編~
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
peridotan
June 14, 2023
Technology
0
280
パスワードレス認証~入門編~
2023年6月14日(水)に実施したServerless Frontend Meetup #3 「認証・認可」の「パスワードレス認証 ~入門編~」資料です。
peridotan
June 14, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
sms_tech
3
890
Lambda Web AdapterでLambdaをWEBフレームワーク利用する
sahou909
0
170
Kiro Powers 入門
k_adachi_01
0
110
VPCエンドポイント意外とお金かかるなぁ。せや、共有したろ!
tommy0124
1
690
Everything Claude Code を眺める
oikon48
11
7.2k
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
masahirokawahara
1
22k
AI実装による「レビューボトルネック」を解消する仕様駆動開発(SDD)/ ai-sdd-review-bottleneck
rakus_dev
0
150
AWSの資格って役に立つの?
tk3fftk
2
360
1GB RAMのラズピッピで何ができるのか試してみよう / 20260319-rpijam-1gb-rpi-whats-possible
akkiesoft
0
340
プラットフォームエンジニアリングはAI時代の開発者をどう救うのか
jacopen
7
3.8k
生成AIで速度と品質を両立する、QAエンジニア・開発者連携のAI協調型テストプロセス
shota_kusaba
0
180
CyberAgentの生成AI戦略 〜変わるものと変わらないもの〜
katayan
0
260
Featured
See All Featured
Discover your Explorer Soul
emna__ayadi
2
1.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Embracing the Ebb and Flow
colly
88
5k
The Cost Of JavaScript in 2023
addyosmani
55
9.8k
Navigating Team Friction
lara
192
16k
The Curse of the Amulet
leimatthew05
1
10k
Abbi's Birthday
coloredviolet
2
5.4k
Typedesign – Prime Four
hannesfritz
42
3k
Designing for Timeless Needs
cassininazir
0
170
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
640
Imperfection Machines: The Place of Print at Facebook
scottboms
269
14k
The Pragmatic Product Professional
lauravandoore
37
7.2k
Transcript
Serverless Frontend Meetup #3 「認証・認可」 パスワードレス認証 ~入門編~ 2023/06/14 橄欖石庵(ぺりどっとあん) 1
本日のアジェンダ • 自己紹介 • パスワードレス認証 ~入門編~ • おまけ 2
自己紹介 • 名前:橄欖石庵(ぺりどっとあん) / 斎藤 知明(Tomoaki SAITO) • 生年月日:昭和50年8月14日生まれ(しし座/O型) •
本業:某SIerでセキュリティコンサル/プリセールス(専門領域:デジタルアイデンティティ)、転職3社目 • エンジニア経験:若いころシステムエンジニア、開発経験ほとんど無し • 社外活動:JNSA デジタルアイデンティティWG所属(啓蒙活動) • 副業:本を書いたりしています(本日は「副業」として登壇) 3 ※画像アイコンは https://ai-art.tokyo/ で 生成しています
パスワードレス認証 ~入門編~ 4
そもそもパスワード認証とは (パスワードレス認証を語る前に) • 認証で使われる要素の一つ • 認証の要素は大きく分けて3種類 ① Something you know(知識認証、とも言います)
② Something you have(所持認証/所有者認証、とも言います) ③ Something you are(生体認証、とも言います) • パスワードは「Something you know」 • 非常に有名な認証の要素で、おそらく使ったことがない人はいない、のでは? 5
パスワード認証って、良いの?悪いの? • 良い点(メリット) • 覚えていれば、いつでもどこでも使える • 他の要素(Something you have/are)だと、デバイスとかリーダーとかが必要 •
基本、紛失することは無い(デバイスやリーダーがないため、盗難の恐れはない) • 悪い点(デメリット) • 紛失はないけど、忘れることはある(入力を間違えることも、ある) • 忘れるのが嫌で(あるいは入力が手間で)、簡単な(覚えやすい)パスワードを設定しがち • 他人に推測されるかも… • Webサービス/クラウドサービス毎に使い分けるのが面倒だと、同じパスワードを使いまわすかも • ID/パスワードが漏洩すると、別のWebサービス/クラウドサービスが侵害されるかも… 6
パスワード認証のデメリット(図解) • パスワードは他の要素と比較すると、盗まれやすい(盗みやすい)傾向があります。 ID/PWD ID/PWD ID/PWD ID/PWD ダークウェブ ID/PWD ID/PWD
別のクラウド 7 安全太郎(仮)さん
(余談)簡単なパスワード、使ってない? • 「Nord Security」社が、よく使われているパスワードを公開しています。 • https://nordpass.com/most-common-passwords-list/ 8
(余談)そのパスワード、漏洩してるかも? • 「‘;--have i been pwned?」では、パスワードが漏洩しているかどうか、確認できます。 • https://haveibeenpwned.com/ 9
どうすれば認証強化できるの? 10 No. 認証強化方法 説明 1 パスワードポリシー パスワードに利用できる文字列や、パスワード設定時の制約を定義 2 パスワードマネジャー
アプリやブラウザ拡張でID/パスワードを管理 3 ID連携 SAML/OIDC等を使用し、パスワードの利用機会を低減 ※OIDC…OpenID Connect 4 MFA パスワードの他に、別の要素を使用して認証 ※MFA…Multi-Factor Authentication 5 パスワードレス パスワード以外の要素を使用して認証(パスワードを使用しない)
パスワードレスって、どんなものがあるの? 11 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you
have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない FIDO2 (関連)
FIDO2は何が良いのか? 12 • 公開鍵暗号方式の鍵を取り出す際のトリガーとして生体認証が使用できる • 生体認証の情報(指紋等のクレデンシャル情報)がインターネット上のサーバに流通(流出)しない
認証フローの違い(before FIDO) 13 ① ② ③ ✔ ④ ⑤ サーバ(クラウド)上に
生体情報が保持 ネットワーク(インターネット)上に 生体情報が流通
認証フローの違い(after FIDO2) 14 ① ② Platform Authenticator User Agent ③
⑤ ⑥ ⑧ WebAuthn Relying Party private key public key public key 認証OK Platform Authenticator 認証OK Platform Authenticator 認証OK Platform Authenticator ✔ ⑦ ④ ✔ サーバ(クラウド)上に 生体情報が無い ネットワーク(インターネット)上に 生体情報が流通しない
パスワードレスって、どんなものがあるの? 15 No. 種類 説明 1 ワンタイムパスワード、 指紋認証など 「パスワード」以外の認証(Something you
have/areなど) ※パスワードはSomething you know 2 FIDO (ファイド) FIDOアライアンスが策定したパスワードレス規格(公開鍵暗号方式を採用) FIDO UAF、FIDO U2F、FIDO2などがある(FIDO2が主流) 3 WebAuthn (ウェブオースン) Webアプリ向けのパスワードレス規格(W3Cが勧告) FIDO2の構成要素の一つ 4 Windows Hello Microsoft社のパスワードレス認証(FIDO2認定を取得) クラウドサービスのサインインだけでなく、Windowsサインインにも対応 ※AppleのFace ID/Touch IDもFIDO2 5 Passkeys (パスキー) 正式名称「multi-device FIDO credentials」 FIDOの弱点※を克服したパスワードレス認証 Apple、Google、Microsoftが対応を表明 ※…あるデバイスで設定したFIDO認証情報(クレデンシャル)を別のデバイスで利用できない
FIDO2の課題(シングルデバイス) 16 private key public key × public key ①
② ③ ④
Passkeysによる対応(マルチデバイス) 17 private key public key private key public key
private key public key public key ① ② ③ ④ ① ' ① ''
パスワードレス認証:デモ • デモ自体は結構地味です… • デモ環境のシステム構成図は次の通りです。 18 デモWebサイト (SAML SP) ×NG
Workforce Identity Cloud SAML ✔OK Password Passwordless ✔OK SAML ユーザー: passless1@p ユーザー: passuser1@p
まとめ 19 • パスワードレス認証とは • パスワードを使用しない認証のこと • 様々な種類があり、今後はFIDO2/Passkeysが主流に • Okta等のIDaaSを活用することで比較的容易にパスワードレス認証を実現
おまけ:参考文献 • NIST SP800-63 • https://pages.nist.gov/800-63-3/ • Okta Developer •
https://developer.okta.com/ • Yubikey Bio • https://www.yubico.com/yubikey/?lang=ja • RSA Simple Test Service Provider • https://sptest.iamshowcase.com/ • Microsoft Achieves FIDO2 Certification for Windows Hello • https://fidoalliance.org/microsoft-achieves-fido2-certification-for-windows-hello/ • iOSおよびMacOSにおいてFIDO認証をサポート • https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos-jp/?lang=ja • Apple、Google、Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明 • https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 20
おまけ:わたくしごと • 本、出しています • 同人誌が中心ですが、商業誌もあります。 • 技術書典:橄欖石庵:https://techbookfest.org/organization/98FQw8FY5zP58bgzPMpPf6 • ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証
【電子書籍のみ】 • Git for Windows + Re:VIEWで電子書籍を作ろう 【電子書籍のみ】 • インプレス NextPublishing:https://nextpublishing.jp/book/16438.html • 実践入門ユーザー認証 試して学ぶパスワードレス 【電子書籍】【紙書籍】 • 同人誌の「ユーザー認証 概括的に学ぶ、クラウドサービス時代のユーザー認証」と商業誌の「実践入門ユーザー認証 試して学ぶ パスワードレス」は中身一緒です(購入時はご注意ください!) • Twitter/GitHubのアカウント持ってます。 • https://twitter.com/peridotan • https://github.com/peridotan 21
ご清聴 ありがとうございました! 22
sms_tech
sahou909
k_adachi_01
tommy0124
oikon48
masahirokawahara
rakus_dev
tk3fftk
akkiesoft
jacopen
.jpg){kind=avatar}
shota_kusaba
katayan
emna__ayadi
stephaniewalter
colly
addyosmani
lara
leimatthew05
coloredviolet
hannesfritz
cassininazir
baasie
scottboms
lauravandoore
