Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキ...

20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた

h-ashisan

June 17, 2024
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 2 自己紹介 あしさん / 芦沢 広昭 (ASHIZAWA Hiroaki) 👲 所属

    AWS事業本部 コンサルティング部 / ソリューションアーキテクト ⭐ 好きなAWSサービス AWS Control Tower、Amazon Security Lake 🗼 グローバルカンファレンス参加歴 re:Invent :2022、2023 re:Inforce:2024 (初参加!!!!!)
  2. 4 アップデートブログの概要 以下リソースの多要素認証(MFA) としてパスキーが利用可能に • rootユーザー • IAMユーザー つまり... 従来の「ユーザー/パスワード

    + OTP(One Time Password)などのMFA」 だけでなく、 新しく「ユーザー/パスワード + パスキー」 で、AWSマネジメントコンソールにログイン可能になります!
  3. 13 認証の3要素 知っているもの (知識認証) …… 例) パスワード、秘密の質問 など 持っているもの (所有認証)

    …… 例) セキュリティキー、特定の物理デバイス など 本人自身 (生体認証) …………… 例) 指紋、虹彩、顔 など 画像の引用:パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
  4. 14 これまでの多要素認証の背景(ざっくり) 以前のインターネット上のオンライン認証では 所有認証、生体認証の利用が困難だった ※所有を証明する術がない、生体を読み取るデバイスの準備が困難 → パスワード等の知識認証のみの方式が続いたが、パスワード攻撃に晒され続ける → その後、SMSやOTP認証などを追加して対策 ⇩

    近年、フィッシング(Phishing)攻撃が流行 → 詐欺サイトを本物のサイトだと勘違いして、OTPを含めた認証情報を 入力してしまい、アカウントを乗っ取られるケースが急増 :従来の方法(SMS、OTP認証方式)では対策しきれなくなった
  5. 15 セキュリティキーとFIDOによる標準化 エンタープライズ企業を中心にセキュリティキー(※)による ※公開鍵暗号方式を採用した多要素認証、認証器とも呼ばれる 所有情報を利用した多要素認証が注目を集める → でも標準化されていないから普及してない... ⇩ FIDO(Fast Identity

    Online)という業界団体によって標準化が進められる 現在は FIDO2という標準が最新バージョン → CTAP1※、CTAP2(プロトコル)、WebAuthn(Javascript API)として標準 ※U2FとUAFのプロトコルが統合されてできた
  6. 16 FIDO2の用語のざっくり解説 WebAuthn - FIDO認証をサポートするブラウザに組み込まれるWebAPI仕様の定義 CTAP2 - ハードウェアキーやモバイルデバイスによるパスワードレス認証やMFAが利用で きる CTAP1

    - U2F:ハードウェアキーによるローカル認証(タッチ、PIN)が利用できる。 MFAとしての用途に限られる(?) - UAF:モバイルデバイスによるローカル認証(生体、PIN)を利用してサービスに登録できる。 登録後はそのデバイスからはパスワードレスで認証可能。
  7. 19 パスキーとは パスキーは、公開鍵暗号化を使用して強力でフィッシング耐性のある認証を 提供する FIDO2 認証情報です。 同期可能なパスキーは、Apple、1Password、Google、Dashlane、Microsoft な どの認証情報プロバイダーによる FIDO2

    実装の進化形であり、USB ベースの キーのように物理デバイスに保存されるのではなく、デバイスやオペレーティ ング システム間で FIDO キーをバックアップして同期できるようにします。 ※Passkeys enhance security and usability as AWS expands MFA requirements | AWS Security Blog の内容を自動翻訳して一部抜粋したもの
  8. 20 パスキーはなぜパスワードより良いのか? • ドメイン情報がクレデンシャルに含まれているため ◦ パスキーの保存時にクレデンシャルとともにドメイン情報がメタデータとして保存さ れる ◦ ドメインが一致しないと認証できない •

    ローカルで認証されるため ◦ パスキーの秘密鍵はローカルデバイスにのみ保存され、公開鍵が保存されるリ モートサーバーには署名のみを送信する • 認証情報が同期できる ◦ パスワードマネージャーから他デバイスに秘密鍵を同期できる ◦ QRコードを利用した一時的な秘密鍵の同期も可能 • 「2要素認証されている」と保証することができるため ◦ 多くのパスワードマネージャーでは、 所持認証(秘密鍵を持っている) + 生体認証(ロック解除など)、で認証 ◦ パスキーの認証情報に多要素認証されたか(UVフラグ)の情報が含まれている
  9. 23 AWSのFIDO対応の歴史 2018/9/25:IAMのU2F(CTAP1)対応 - Yubikeyなどのハードウェアデバイスを用いたMFAをサポート ※参考:AWS マネジメントコンソールに多要素認証 (MFA) 用の YubiKey

    セキュリティキーを使ってサインインしてください | AWS What's new 2020/11/20:IAM Identity CenterのWebAuthn 対応 - FIDO2仕様のMFA、U2FによるMFAをサポート ※参考:AWS シングルサインオンに、セキュリティキーと組み込みの生体認証によるユーザー認証のための Web 認証 (WebAuthn) サポートが追加されました。 | AWS What's new 2022/5/13:IAMのWebAuthn 対応 - FIDO2仕様のMFAをサポート ※参考: AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました | AWS What's new 2024/6/12:root、IAMユーザーのパスキー対応 ←:New:
  10. 24 AWSドキュメントにおけるパスキーの定義 • Synced passkeys ◦ Google、Apple、Microsoftなどのパスワードマネージャー ◦ 1Password、Dashlane、Bitwardenなどの3rd Party

    パスワードマネージャー ◦ Touch ID、FaceID、Windows Helloなどのデバイス上の生体認証 • device-bound passkeys ◦ YubikeyのようなUSBに差し込む物理的なセキュリティキー 参考: パスキーまたはセキュリティ キーを有効にする (コンソール) | AWSドキュメント
  11. 26 その他、今覚えておくといいかもしれないこと • 現状、パスワードレス認証はできない ◦ AWS Blogには初回リリースでは「パスワード+MFA認証」を選択したとあった > However, for

    this initial release, we choose to use passkeys as a second factor authentication, in addition to your password. ▪ つまり、いずれパスワードレス認証がサポートされる...?かも ◦ 参考: AWS adds passkey multi-factor authentication (MFA) for root and IAM users | AWS News Blog • AWS CLIやAWS APIでは利用できない > You cannot use AWS CLI commands or AWS API operations to enable FIDO security keys. ◦ 参考:2024年6月現在 AWS CLI の MFA デバイスとしてパスキーは使用できない | DevelopersIO • FIDO2がサポートしていないWebブラウザ、構成に気をつける ◦ Firefoxはパスキー自体がサポートされていない ◦ WindowsOS、LinuxではSafariも未サポート ▪ 参考: パスキーとセキュリティキーの使用にサポートされている構成 | AWSドキュメント
  12. 27 AWSドキュメント以外の参考文献 • 国民のためのサイバーセキュリティサイト | 総務省 • パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。 |kkoiwai •

    パスキーの基本とそれにまつわる誤解を解きほぐす by えーじ / Eiji Kitamura • パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る by えー じ / Eiji Kitamura • 多要素認証(MFA)とは?認証方式の種類やメリットについて解説|セキュリティのSHIFT
  13. 30