俺のSMS認証がこんなに非推奨なわけがない

Transcript

1. 俺のSMS 認証が こんなに非推奨なわけがない Presented by Kengo Suzuki ( @ken5scal )

   1

2. 前置き 指摘は @ken5scal 受付中! NIST SP800-63 のうち63b しか読めてないので、 正 確でない可能性があります

   2 要素認証? or 2 段階認証? 本LT では「 ２段階認証」 に統一 以降2sv 2

3. 今日のテー マ 3

4. NIST SP 800-63 「Digital Identity Guideline」 の 4

5. SP 800-63B 「Authentication and Lifecycle Management」 における 5 . A

   u t h e n t i c a t o r a n d V e r i f i e r R e q u i r e m e n t s 5

6. 発端はこれ 出典: https://japan.cnet.com/article/35104345/ 6

7. こ、 ま？ 7

8. < SMS 認証なんで死んでまうん？ 8

9. 元リンクを見ると 9

10. 10

11. 11

12. !? 12

13. 古ぅい!!! Preview 版のときのソー ス！ Preview 版: 2016/06/~~ パブリック版: 2017/06/22 これで2017/07

    の記事かくなよ～ 13

14. さらに辿って 米国立標準技術研究所（N I S T ） はS M S による2

    段階認証を非推奨 14

15. !? 15

16. 元ソー スがなぁい！ 16

17. 謎 米国立標準技術研究所（N I S T ） はS M S による2

    段階認証を非推奨は 本当なのか 本当であれば代替案はあるのか 本当でなければ、 どんな立ち位置になのか 17

18. というわけで SP800-63B を読んできたZE! 出典: http://nvlpubs.nist.gov/nistpubs/SpecialPublicat 18

19. 結果... SMS は非推奨ではない 19

20. 無制限に 認められてるわけでもない 20

21. 各ポイント ポイント1: PSTN 経路が対象 ポイント2: 非推奨ではなく制限 ポイント3: 縛りがある 21

22. ポイント1: PSTN 経路が対象 PSTN: 公衆交換電話網 Preview では、Out-of-Band 認証方式のセカンダリチ ャネルとして、SMS/ 電話方式

    over PSTN だと対象に なる。 Public では全方式 over PSTN が対象。 Use of the PSTN for out-of-band verification is RESTRICTED... “ “ 22

23. ポイント2: 非推奨ではなく制 限 ☓ 非推奨(Preview 版) : Discouraged ◯ 制限(Public

    版): Restricted Preview では非推奨(Discouraged) だった。Public で は、 制限のある認証方式というカテゴリに分類されてい た。 ちなみに制限に分類された認証方式は他にない。 Use of the PSTN for out-of-band verification is RESTRICTED... “ “ 23

24. ポイント3: 縛りがある NIST は、 脅威状況やPSTN の運用にあわせて柔軟に 制限を変えると宣言している なお、 制限された認証方式はPSTN による認証方式

    のみ NIST may adjust the RESTRICTED status of the PSTN over time... “ “ 24

25. 縛りがある（ 続) 以下の条件を満たさねばならない(SHALL) 1. 利用者にRESTRICTED 以外の認証方式を1 つ以上 提供しなけれなばらない 2. RESTRICTED

    な認証方式を使う際のリスクおよ びRESTRICTED 以外の認証方式の存在を、 意味 ある形で提供しなければならない 3. リスクアセスメントの結果を利用者に伝えなけ ればならない 4. RESTRICTED な認証方式が将来禁止された時に 備えた移行プランを準備しなければならない 25

26. むしろ('A`)ﾒﾝﾄﾞｸｾ くなってる 26

27. どうしてこうなった _ ＿＿ ∧ ∧ ∩ / ∥￣∥ r (

    ^ ω ^ ) ノ L ∥＿∥ └ ┐ レ― ､ | ￣＼ 三/ ￣/ ＿ ノ⌒ | ｜/ / ( _ ( 27

28. こうなるに至った経緯 https://github.com/usnistgov/800-63-3/ issues #1614 pr #1827 Preview では、PSTN の経路(sms or

    voice) が非推奨 Out-of-band authentication using the PSTN (SMS or voice) as an out-of-band channel is discouraged and is being considered for removal “ “ 28

29. そこにCTIA が噛み付く CTIA: 特に米国の携帯電話事業者が多い業界団体 ノ从从从从ヽ ( ⌒／ﾞﾞﾞﾞﾞﾞ＼⌒) < お前それデー タとって言ってんの？

    ノｲ ＿ ＿｜ヽ < お前それ2 F A 推進派の前でも同じこと言えんの？ 彡| ヽ･〉〈･ﾉ｜ ミ < お前それ安全なP S T N の前でも同じこと言えんの？ 彡| ▼ ｜ ミ 彡ヽ ＿ 人＿ / ミ ` ／ヾヽ ` ⌒′ / ツ＼ ｜ ヾ ﾞﾞﾞﾞﾞﾞ ツ ｜ ｜ | ヾ 从从ツ | ｜ ｜ ` ― ― ― ― ― ― ⌒) ( ＼＿＿＿＿＿＿＿＿) （⌒ ノ ￣| ￣￣￣￣￣ Ｔ 29

30. それに対してNIST が それっておかしくねぇ？ じゃあD i s c o u r

    a g e じゃなくすよ 代わりに別項目追加して、 リスクアセスメント必須にするわ あ、 突然禁止にするかもしんないから、 移行プランの計画も必須な スコー プもS M S / 電話だけじゃなくて、 全P S T N に広げとくわ ＿＿ ／ ＼ / ノ ー ヽ ｜( ･) ( ･) | ｜ ( | ( Ｏ ノ ⊂ ニ￣￣ヽ ＞― ― ￣ヽ く) _ ノ| ｜ | ( ／ | | / | | | | | / | | | ヽ_ / | | | 30

31. 結果 諸々 が追加される 31

32. 10 倍になって打ち返された ノ从从从从ヽ ( ⌒／ﾞﾞﾞﾞﾞﾞ＼⌒) ノｲ ＿ ＿｜ヽ 彡| ヽ

    〉〈 ﾉ｜ ミ 彡| ▼ ｜ ミ 彡ヽ ＿ 人＿ / ミ < サバンナでもこれはないわ ` ／ヾヽ ` ⌒′ / ツ＼ ｜ ヾ ﾞﾞﾞﾞﾞﾞ ツ ｜ ｜ | ヾ 从从ツ | ｜ ｜ ` ― ― ― ― ― ― ⌒) ( ＼＿＿＿＿＿＿＿＿) （⌒ ノ ￣| ￣￣￣￣￣ Ｔ 以降、CTIA のコメントはない 32

33. 俺たちはどうすればいいか 総務省の28 年版情報通信白書によるとスマホ普及 率72.0% 日本では2010 年~2025 年で、PTSN からIP 移管する 計画?

    http://www.soumu.go.jp/main_content/00011 7833.pdf これはPSTN 経路によるOut-of-Band 認証方式を採 用しないチョイスはなくない？ 33

34. 俺たちはどうすればいいか PSTN 経路使わないOut-Of-Band 認証方式なんてあ りえるのか？ QR コー ドもプロンプト形式もPSTN チャネルを 使うことあるんじゃないのか

    Yubikey だって、OTP の送信はPSTN チャネルか もじゃないか ...!!! 34

35. ひらめいた! ｜ ＼ ＿ ／ ＿ ( ｍ) ＿ 目

    ﾋﾟｺｰﾝ ／ ` ′ ＼ ∧ _ ∧ ( ･∀･∩ ( つ ノ ⊂ ＿ ノ ( _ ) 35

36. * * ＊ ＋ うそです n ∧ ＿∧ n ＋

    ( ﾖ( * ´ ∀` ) E ) Ｙ Ｙ ＊ 36

37. 結論 2sv における良い解決案はこれから考えます！ 私見だが、 ちゃんとNISC の提示する条件をクリ アする他ないと思う... @ken5scal 先生の次回作にご期待ください！ とにかく、

    現在、SMS による2sv は非推奨ではない 37

38. 俺たちの戦いはこれからだ！ 38