OAuth Numa (Immersion) Workshop 2023 パスワードレス時代のOpenID Connectの活⽤ OpenID ファウンデーション・ジャパン 倉林 雅

⾃⼰紹介 倉林 雅（Kurahayashi Masaru） OpenID ファウンデーション・ジャパン 理事・エバンジェリスト ヤフー株式会社 ID・セキュリティユニット サービスマネージャー @kura_lab

本⽇は認証強化のためのパスワードレスと そのパスワードレスを普及させるためのID連携の 話をします

認可の強化・利活⽤だけではなく認証の強化も重要 • OAuth 2.0/OpenID Connectは多種多様なプロファイルが拡 張されている • ⾦融などのセキュアなユースケース → FAPI • eKYCの活⽤ → OpenID Connect for Identity Assuarance（IDA） • 取り扱っている情報がよりセンシティブになっているため、認 可のセキュリティ強化だけでなく、認証の強化も必須となって きている

⽇々増していくパスワードのリスク • パスワードリスト攻撃、パスワードスプレー攻撃 • フィッシング（MITM・AiTM） https://corp.en-japan.com/newsrelease/2023/32484.html https://www.nitorihd.co.jp/news/items/316ab981c836f212f9b1063cf4bba2d2.pdf

時代はパスワードからパスワードレスへ踏み出した • パスワードから脱するべくパスワードレスへの移⾏ • メール認証 • SMS認証 • Authenticatorアプリ • FIDO

パスワードレスを後押しするFIDOの進化 • パスワードに代わる認証⼿段となるべく進化するFIDO • UAF、U2F • FIDO2（WebAuthn） • Passkey、Autofill（Conditional UI） • Hybrid • セキュリティやIDの専⾨家だけでなく、 ⼀般の利⽤者にも徐々に浸透しはじめている

https://www.youtube.com/watch?v=yOy1JvBJ5ck

Passkeyの登場によって ⾼いセキュリティレベルを要求していない SNSやECサイトなどでも利⽤できるようになった by ⼩岩井 航介

FIDOを普及させるためのPasskey • セキュア重視からUXを優先するコンセプトに変更 • 従来のFIDOは端末のセキュア領域に秘密鍵を閉じ込めていた • Passkeyは、クロスデバイスでのUX向上を⽬的として、秘密鍵をプ ラットフォームに預け、端末間で同期する仕様とした • 従来のFIDOよりも認証強度は低下している

https://www.youtube.com/watch?v=BRbB5nYX5B8

Passkeyの強さに関しての議論ででてくる話。 パスワードの置き換えであり、 パスワードよりはBetter。UXもよくなる。 by Nat

Passkeyはパスワードより安全 • Passkey（FIDO）はパスワードの抱える課題は解決している • パスワードリスト攻撃、パスワードスプレー攻撃への耐性 • フィッシング（MITM・AiTM）への耐性 • Passkeyの登場によって従来のFIDOよりはセキュリティは低下 しているが、パスワードによる認証を継続することと⽐較すれ ば安全である

https://www.youtube.com/watch?v=BRbB5nYX5B8

パスワードマネージャーと Passkeyの違いは公開鍵かどうかくらい プラットフォーム間でsyncされるようになってほしい （その⽇がくるのかはわからない） by nov

パスワードレス普及に期待されているFIDOも過渡期 • Passkeyのクロスプラットフォームへの期待 • 異なるブラウザー間や、異なるOS間でのPasskeyによる同期を期待し てしまうが実現は遠い（実現は不可能︖） • FIDOもまだまだ普及に向けての過渡期であり、先⾏導⼊を進 めているサービスも仕様変更でアップデートを繰り返している

まだFIDOの導⼊はハードルが⾼い • FIDOサーバー導⼊のハードルが⾼い • IDaaS・SaaS、 OSSの選択肢が少ない • UI / UXのベストプラクティスが少ない • Identifier-Fast︖Identifier-Less︖ • 仕様変更の追随やUI / UXの検討にリソースを割けないサービ スの対応はまだ早いかもしれない

No content

FIDO普及のジレンマ ユーザーをパスワード管理から 解放させるために 各サービスのFIDOを普及させたい… でも各サービスでFIDOが普及すると FIDO鍵の管理を増やしてしまう… 各サービスにFIDOを普及させると 新たな管理コストが発⽣してしまうのではないか

FIDOとOpenID技術 • ユーザーの管理コスト低減のためのOpenID技術 • ID・パスワードの管理から解放することがOpenID技術のコンセプト には含まれている • パスワードからFIDOになっても管理コストは継続するため、 OpenID 技術を⽤いた解決は選択肢としてあり • OpenID Connectを介したFIDO対応 • サービスは直接FIDOを導⼊せずとも、FIDOを提供するIdPとOpenID ConnectによるID連携をすることで間接的にFIDOの恩恵を享受するこ とが可能

パスワードレス普及のポイントはOpenID Connect • FIDOを例に導⼊コストやユーザーの管理コストの観点でID連 携の有⽤性を説明したが、他の認証⼿段によるパスワードレス においても同様のことがいえる • 将来的に導⼊コストやユーザーの課題が解決され、各サービス のパスワードレスが普及していくと思われるが、過渡期におい てはOpenID ConnectによるID連携がパスワードレス普及の重 要なポイントであると考える

パスワードレス普及のためのプロファイル • amr_values / acr_values の拡張でより細かな要求を制御 • RPの求める認証強度にあった認証⼿段、認証レベルを呼び出しできる ようにすべきではないか • パスワードレス（SMS認証、メール認証）の設定と認証を要求 • FIDO（Passekey）の設定と認証を要求 • 各社IdPの認証の仕様は共通化されておらずRP側での制御は難 しいと考えるが、FAPIやIDAなどのユースケースにおいての認 証制御のベストプラクティスがあるとよい

例）バーティカルSaaSのパスワードレス認証 RPとなるバーティカルSaaSが amr_values / acr_values などを 指定してOpenID Connect経由でパスワードレスな認証を要求する A.com 銀⾏ B.com 証券 C.com EC D.com SNS 認証基盤 OpenID Connect リスクの⾼いサービスは FIDO・SMS認証などの パスワードレスを要求 リスクの低いサービスは パスワード認証を許容する

まとめ • 認可のセキュリティ強化や利活⽤だけでなく認証のセキュリティ強化も重要 • パスワードレスへ踏み出すことができるようになったが、サービスのFIDO導⼊ のハードルは⾼く、ユーザーはFIDO鍵管理コストが新たに発⽣する • パスワードレスを提供するIdPとのID連携がパスワードレス普及のポイント • 過渡期においてパスワードレスを活⽤したいRPのためのユースケースや、 OAuth 2.0/OpenID Connectのプロファイルの検討も必要である

ご清聴ありがとうございました