builderscon 2019 day1 FIDO
パスワード認証
既存の脅威
つらい
現状
ユーザはハード/ソフフとサポートが必要。
サービス側のコストも高い。
リスト攻撃対策もいたちごっこ。
明い未来の見えない認証方式をやめたい。
次の一手
2(段階|要素)認証
one time password
結局ユーザの入力が必要
→ フィッシング攻撃を受ける。
手元のデバイスで許可/OTPでもproxyしてくるフィッシングだとつらい。
FIDO
ローカル認証(生体/パスワード等)
公開鍵暗号
を組み合わせる。
for
パスワードレス認証
追加認証
FIDO2
WebAuthn
FIDOを利用するサービスの呼ぶjavascript API
CTAP
ブラウザとセキュリティーキーの間の通信プロトコル
WebAuthn
BioPass
指紋認証つき。
ローカル認証が無くてもPINでできる。
フィッシング耐性
鍵の管理がorigin単位なので、フィッシングサイトに署名をブラウザが送らない。
仮に送っても検証失敗する。
追加の認証方式で使ってるとこ
Dropbox
知らなかった。
GitHub
Google
近くにあるAndroid端末をBluetoothでセキュリティキー扱いで使えるらしい。
「詰みにくい」仕組みは大切。
鍵を落とす。
単体の認証方式として使ってるとこ。
Yahoo Japan
Microsoft
Nulab
認証要求のタイミング
メアドで識別後に判定
ResidentKeyを利用してユーザ選択
どうなる?
今後の流れでスタンダードが決まるのではないか。
パスワードレスに向けて
新規サービスではパスワード認証を導入しない。
WebAuthn/FIDOの使えない環境のケア
既存のサービスからパスワード認証を取り除く!
登録フロー
メルアド確認
credentialの設定?
どうなっていく?
originが一致する必要があるので、認証時のドメインの統一が必要とか。
パスワード認証の無効化 → リスト型攻撃の被害の軽減
Yahooとかはwebからのログインを無効化するに限定。
メールとかではできる。
Nulabはパスワード認証を消せる。
WebAuthen/FIDOの使えないところでは困りうるので選べる。
アカウントリカバリ
複数ログイン方法で他のものを使ってやることが多い。
他の方法はある?
現状は無い。
他の認証方式で認証して一旦FIDOを無効化/再設定するほかない。
端末買い替え等のUIどうする?
やっぱり他の認証方式でログインするほか現状は無い。
スマホを無くしてSMSもinternal auth.も使えなくなると、結局バックアップコードを持ってくるほかない……。
パスワードレスでやっていく と決めた中で、FIDOが使えない環境ではどうやっていくことが考えられるか?
SMSとか……。
力があればプッシュ通知で許可する等の認識ができるが……。
OTP払い出しとか
あんまり良い方法は無い。
脆弱なauthenticatorが登場したらどうする?
メーカーやモデル、それを保証する証明書を要求するオプションがある。
ホワイトリストで通す とかは可能。
ヤバいauthenticatorは検証で弾くことは(理論上は)可能。
キーそのものの区別が行なえるとプライバシーの問題があるのでボカされる。
パスワードレスが実現された後、サービスでIDとしてのメールアドレスを使わないことは可能か?
SMSをIDとするスマートフォンアプリとかはあるしありえなくはない?
他の通信路の確保等があるので実際むずかしそう。