Share
Embed
Slide 1
Slide 1 text
“パスワードレス認証への道"
ユーザー認証の変遷とパスキーの関係
@ritou 2025/4/17 #O
ff
ers_DeepDive
Slide 2
Slide 2 text
このお話のGOAL:
ユーザー認証
方
式の関係を理解する
2
Slide 3
Slide 3 text
• NIST SP 800-63など各種ガイドラインでは当
人
認証(Authentication)と
表現されることが多い
• サービスに登録している対象ユーザーを識別、クレデンシャルを検証す
ることで当
人
性を確認すること
ユーザー認証とは?
3
Slide 4
Slide 4 text
①パスワード認証
4
Slide 5
Slide 5 text
• 準備
• ユーザーがパスワードを覚えておく
• サービスはパスワード(のハッシュ値など)を保存
• 認証
• メールアドレスや電話番号、ユーザーIDとパスワードをフォームに
入力
して送信
• 同時に検証 or 識別後にパスワードの検証
• 特徴
• 特定のデバイスを必要としない
パスワード認証
5
Slide 6
Slide 6 text
パスワード認証のユーザー側の要件に対する現状
• 推測困難なパスワードの利
用
• 推測可能なパスワードを利
用
• サービス毎に異なるパスワードを記憶
• 使い回す -> パスワードリスト攻撃
• 別々にすると忘れる -> リセットの
手
間、サービス側のコスト
• 正規のサービスのみに
入力
• フィッシングサイトの判断は困難
パスワード認証
6
Slide 7
Slide 7 text
パスワード認証のサービス側の要件に対する現状
• 推測困難なパスワードを受け
入
れる
• 利
用
可能な
文
字種や最
大文
字数の制限
• パスワードを適切に管理する
• 復元可能な状態での保存、漏洩
• 各種攻撃への対策
• フィッシング、ブルートフォース、パスワードリスト/スプレー等
パスワード認証
7
Slide 8
Slide 8 text
②多要素認証とパスワードレス認証
8
Slide 9
Slide 9 text
• 攻撃対象は
大手
サービスから中
小
規模のサービスまで
•
大手
サービスでなければ価値がないわけではない
• ユーザー識別
子
とパスワードのリストの精査
• 短期的な対策(=応急処置)としての追加認証
• 登録済みのメールアドレスや電話番号へのOTP送信
• ソフトウェアTOTP
• 認証アプリ
パスワード認証への攻撃が激化
9
Slide 10
Slide 10 text
異なる認証要素を
用
いる認証
方
式の
足
し算
→多要素認証
OTP/TOTP/認証アプリ
セキュリティキー
or
別の認証要素を利
用
する認証
方
式を追加して
パスワード認証突破時のハードルを設ける
パスワード認証
+
←知識情報の利
用
←所持情報の利
用
10
Slide 11
Slide 11 text
多要素認証からパスワード認証を引き算
→シンプルなパスワードレス認証
SMS OTP
Email OTP/マジックリンク
or
パスワード認証
+
←課題があるなら
最初から使わない
❌
メールアドレスや電話番号など
識別
子
を含む
方
式でシンプルなパスワードレス認証を実現 11
Slide 12
Slide 12 text
多要素だけじゃダメですか?
• 多要素認証で使われている
方
式
• メール, SMS OTP
• TOTP
• 認証アプリ
• セキュリティキー
12
Slide 13
Slide 13 text
多様化するフィッシング攻撃
• リアルタイム/中継型と呼ばれるフィッシング攻撃
• 偽サイトに
入力
された値を正規のサービスに送り、最終的
にログインセッションを奪う
13
Slide 14
Slide 14 text
認証
方
式におけるフィッシング耐性
→システムによる判定
• パスワードマネージャーの
自
動
入力
機能
• 登録時のドメイン
比
較して
自
動
入力
を判定
• 判定ロジックはパスワードマネージャー依存
• 動作しない時に
手
動
入力
が可能
• ユーザーに利
用
を強制できない
14
Slide 15
Slide 15 text
クレデンシャルの漏洩リスク
• 登録/ログインのクレデンシャル
入力
時、通信経路: パスワー
ド、OTP、TOTP
• デバイス、サービスから漏洩: パスワード、TOTP Secret
15
Slide 16
Slide 16 text
④FIDO認証
16
Slide 17
Slide 17 text
FIDO認証
• パスワード認証の課題を解決することにフォーカス
• 公開鍵暗号
方
式の利
用
• 端末のセキュアな領域にクレデンシャルを保存
• ブラウザの仲介によるフィッシング耐性
• デバイスのローカル認証と組み合わせて多要素認証を実現
17
Slide 18
Slide 18 text
FIDO認証と公開鍵暗号
• デジタル署名の
生
成、検証の仕組みを利
用
• サービス側からのクレデンシャル漏洩リスクの軽減
• サービスから指定されたチャレンジの値を含むことでデジ
タル署名の使い回しを困難に
• フィッシング耐性とは無関係
18
Slide 19
Slide 19 text
FIDO認証のフィッシング耐性
• サービスが指定したオリジンとの
比
較による対象判定
• 判定ロジックは標準化されたもの
• 動作しない時、
手
動
入力
は困難
• ユーザーに利
用
を強制できる
19
Slide 20
Slide 20 text
セキュリティキー
• 多要素認証のための追加認証の
方
式(所持情報)として登場
• 所有者との紐付けを確認したい場
面
がある
• PINなどのユーザー検証と組み合わせ
• コンシューマ向けの課題
• 有料で購
入
する必要がある
• 保存できるクレデンシャルの数に限界がある
20
Slide 21
Slide 21 text
プラットフォーム認証器
• スマートフォンのセキュア領域にクレデンシャルを保存
• セキュリティキーよりも多数保存可能
• 端末紛失、機種変更時に全てのサービスに削除、再設定の
手
間が発
生
• 使い慣れた画
面
ロック解除と組み合わせて多要素認証を実現
• PIN、パターンロック、
生
体認証(顔、指紋)
21
Slide 22
Slide 22 text
④パスキー認証
22
Slide 23
Slide 23 text
パスキー認証
• パスワードマネージャーにクレデンシャルを保存し、複数端
末での同期を許容
• 秘密鍵の管理という観点でセキュリティ低下
• 端末紛失、機種変更時の
手
間を改善して実
用
的に
• プラットフォーム謹製、およびサードパーティーなパスワー
ドマネージャーが利
用
可能
23
Slide 24
Slide 24 text
FIDO認証からパスキー認証へ
24
Slide 25
Slide 25 text
パスキー認証=理想のユーザー認証?
• これまではパスワード認証の課題にフォーカスしていた
• 今後はパスキー認証の課題にフォーカスする必要性がある
• このあたりの説明はAuth屋さんにお任せ
25
Slide 26
Slide 26 text
ユーザー認証
方
式の関係
26
パスワード認証 多要素認証 FIDO認証
シンプルな
パスワードレス認証 パスキー認証
別の認証要素
を
足
し算
パスワード認証
を引き算
パスワードマネージャー
の管理による利便性向上
公開鍵暗号
方
式の利
用
と
フィッシング耐性
セキュリティキー
+ユーザー検証
パスワードレス認証
Slide 27
Slide 27 text
まとめ
• 認証
方
式の変遷は脅威と対策の繰り返しによるもの
•
足
し算(多要素認証)、引き算(シンプルなパスワードレス)
• 認証要素 + フィッシング耐性
• サービスを安全、便利に利
用
してもらうためには
身
元確認、ID連携な
どと合わせて考える必要がある
• マイナンバーカード、デジタル認証アプリ(OIDC)、Digital Identity
Wallet
27
Slide 28
Slide 28 text
終わり
28