Upgrade to Pro — share decks privately, control downloads, hide ads and more …

俺のSMS認証がこんなに非推奨なわけがない

 俺のSMS認証がこんなに非推奨なわけがない

NISTは本当にSMS認証を非推奨としたのか。真実を追って我々はジャングルに飛び込んでいった...

8/1 13:30: 構成を一部変更・追記

Kengo Suzuki

July 31, 2017
Tweet

More Decks by Kengo Suzuki

Other Decks in Programming

Transcript

  1. 前置き 指摘は @ken5scal 受付中! NIST SP800-63 のうち63b しか読めてないので、 正 確でない可能性があります

    2 要素認証? or 2 段階認証? 本LT では「 2段階認証」 に統一 以降2sv 2
  2. SP 800-63B 「Authentication and Lifecycle Management」 における 5 . A

    u t h e n t i c a t o r a n d V e r i f i e r R e q u i r e m e n t s 5
  3. 10

  4. 11

  5. 謎 米国立標準技術研究所(N I S T ) はS M S による2

    段階認証を非推奨は 本当なのか 本当であれば代替案はあるのか 本当でなければ、 どんな立ち位置になのか 17
  6. ポイント1: PSTN 経路が対象 PSTN: 公衆交換電話網 Preview では、Out-of-Band 認証方式のセカンダリチ ャネルとして、SMS/ 電話方式

    over PSTN だと対象に なる。 Public では全方式 over PSTN が対象。 Use of the PSTN for out-of-band verification is RESTRICTED... “ “ 22
  7. ポイント2: 非推奨ではなく制 限 ☓ 非推奨(Preview 版) : Discouraged ◯ 制限(Public

    版): Restricted Preview では非推奨(Discouraged) だった。Public で は、 制限のある認証方式というカテゴリに分類されてい た。 ちなみに制限に分類された認証方式は他にない。 Use of the PSTN for out-of-band verification is RESTRICTED... “ “ 23
  8. 縛りがある( 続) 以下の条件を満たさねばならない(SHALL) 1. 利用者にRESTRICTED 以外の認証方式を1 つ以上 提供しなけれなばらない 2. RESTRICTED

    な認証方式を使う際のリスクおよ びRESTRICTED 以外の認証方式の存在を、 意味 ある形で提供しなければならない 3. リスクアセスメントの結果を利用者に伝えなけ ればならない 4. RESTRICTED な認証方式が将来禁止された時に 備えた移行プランを準備しなければならない 25
  9. どうしてこうなった _ __ ∧ ∧ ∩ / ∥ ̄∥ r (

    ^ ω ^ ) ノ L ∥_∥ └ ┐ レ― 、 |  ̄\ 三/  ̄/ _ ノ⌒ | |/ / ( _ ( 27
  10. こうなるに至った経緯 https://github.com/usnistgov/800-63-3/ issues #1614 pr #1827 Preview では、PSTN の経路(sms or

    voice) が非推奨 Out-of-band authentication using the PSTN (SMS or voice) as an out-of-band channel is discouraged and is being considered for removal “ “ 28
  11. そこにCTIA が噛み付く CTIA: 特に米国の携帯電話事業者が多い業界団体 ノ从从从从ヽ ( ⌒/゙゙゙゙゙゙\⌒) < お前それデー タとって言ってんの?

    ノイ _ _|ヽ < お前それ2 F A 推進派の前でも同じこと言えんの? 彡| ヽ・〉〈・ノ| ミ < お前それ安全なP S T N の前でも同じこと言えんの? 彡| ▼ | ミ 彡ヽ _ 人_ / ミ ` /ヾヽ ` ⌒′ / ツ\ | ヾ ゙゙゙゙゙゙ ツ | | | ヾ 从从ツ | | | ` ― ― ― ― ― ― ⌒) ( \________) (⌒ ノ  ̄|  ̄ ̄ ̄ ̄ ̄ T 29
  12. それに対してNIST が それっておかしくねぇ? じゃあD i s c o u r

    a g e じゃなくすよ 代わりに別項目追加して、 リスクアセスメント必須にするわ あ、 突然禁止にするかもしんないから、 移行プランの計画も必須な スコー プもS M S / 電話だけじゃなくて、 全P S T N に広げとくわ __ / \ / ノ ー ヽ |( ・) ( ・) | | ( | ( O ノ ⊂ ニ ̄ ̄ヽ >― ―  ̄ヽ く) _ ノ| | | ( / | | / | | | | | / | | | ヽ_ / | | | 30
  13. 10 倍になって打ち返された ノ从从从从ヽ ( ⌒/゙゙゙゙゙゙\⌒) ノイ _ _|ヽ 彡| ヽ

    〉〈 ノ| ミ 彡| ▼ | ミ 彡ヽ _ 人_ / ミ < サバンナでもこれはないわ ` /ヾヽ ` ⌒′ / ツ\ | ヾ ゙゙゙゙゙゙ ツ | | | ヾ 从从ツ | | | ` ― ― ― ― ― ― ⌒) ( \________) (⌒ ノ  ̄|  ̄ ̄ ̄ ̄ ̄ T 以降、CTIA のコメントはない 32
  14. 俺たちはどうすればいいか 総務省の28 年版情報通信白書によるとスマホ普及 率72.0% 日本では2010 年~2025 年で、PTSN からIP 移管する 計画?

    http://www.soumu.go.jp/main_content/00011 7833.pdf これはPSTN 経路によるOut-of-Band 認証方式を採 用しないチョイスはなくない? 33
  15. ひらめいた! | \ _ / _ ( m) _ 目

    ピコーン / ` ′ \ ∧ _ ∧ ( ・∀・∩ ( つ ノ ⊂ _ ノ ( _ ) 35
  16. * * * + うそです n ∧ _∧ n +

    ( ヨ( * ´ ∀` ) E ) Y Y * 36