パスキー導入の課題と ベストプラクティス、今後の展望

Transcript

1. パスキー導 入 の課題と ベストプラクティス、今後の展望 @ritou 2025/3/25 12:00-13:00 online

2. 内容 • パスキー認証登場までの経緯 • パスキー認証の導 入 パターンと検討事項 • パスキー認証を導 入

   した先にある世界 2

3. ※今回触れない技術的な話についてもカバーしている書籍です。 私もレビューしました。 3

4. パスキー認証登場までの経緯 4

5. パスワード認証のユーザー側の要件に対する現状 • 推測困難なパスワード • 推測可能なパスワードを利 用 • サービス毎に異なるパスワードを記憶 • 使い回す

   -> パスワードリスト攻撃 • 別々にすると忘れる -> リセットの 手 間、サービス側のコスト • 正規のサービスのみに 入力 • フィッシングサイトの判断は困難 パスワード認証 5

6. パスワード認証のサービス側の要件に対する現状 • 推測困難なパスワードを受け 入 れる • 利 用 可能な 文

   字種や最 大文 字数の制限 • パスワードを適切に管理する • 復元可能な状態での保存、漏洩 • 各種攻撃への対策 • フィッシング、ブルートフォース、パスワードリスト/スプレー等 パスワード認証 6

7. 異なる認証要素を 用 いる認証 方 式の 足 し算 →多要素認証 OTP/認証アプリ セキュリティキー

   or 別の認証要素を利 用 する認証 方 式を追加して パスワード認証突破時のハードルを設ける パスワード認証 ＋ ←知識情報の利 用 ←所持情報の利 用 7

8. 多要素認証からパスワード認証を引き算 →シンプルなパスワードレス認証 SMS OTP Email OTP/マジックリンク or パスワード認証 ＋ ←課題のある認証

   方 式を 使わない ❌ メールアドレスや電話番号など 識別 子 を含む 方 式でシンプルなパスワードレス認証を実現 8

9. 多要素だけじゃダメですか？ • 多要素認証で使われている 方 式 • メール, SMS OTP •

   TOTP • 認証アプリ • セキュリティキー 9

10. 多様化するフィッシング攻撃 • リアルタイム/中継型と呼ばれるフィッシング攻撃 • 偽サイトに 入力 された値を正規のサービスに送り、最終的 にログインセッションを奪う 10

11. 認証 方 式におけるフィッシング耐性 →システムによる判定 • パスワードマネージャーの 自 動 入力 機能

    • 登録時のドメイン 比 較して 自 動 入力 を判定 • 判定ロジックはパスワードマネージャー依存 • 動作しない時に 手 動 入力 が可能 • ユーザーに利 用 を強制できない 11

12. クレデンシャルの漏洩リスク • 登録/ログインのクレデンシャル 入力 時、通信経路: パスワー ド、OTP、TOTP • デバイス、サービスから漏洩: パスワード、TOTP

    Secret 12

13. FIDO認証 (FIDO2) • パスワード認証の課題を解決することにフォーカス • 公開鍵暗号 方 式の利 用 •

    端末のセキュアな領域にクレデンシャルを保存 • ブラウザの仲介によるフィッシング耐性 • デバイスのローカル認証と組み合わせて多要素認証を実現 13

14. FIDO認証の特徴 14

15. FIDO認証と公開鍵暗号 • デジタル署名の 生 成、検証の仕組みを利 用 • サービス側からのクレデンシャル漏洩リスクの軽減 • サービスから指定されたチャレンジの値を含むことでデジ

    タル署名の使い回しを困難に • フィッシング耐性とは無関係 15

16. FIDO認証のフィッシング耐性 • パスワードマネージャーの進化形 • サービスが指定したオリジンとの 比 較による対象判定 • 判定ロジックは標準化されたもの •

    動作しない時、 手 動 入力 は困難 • ユーザーに利 用 を強制できる 16

17. セキュリティキー • 多要素認証のための追加認証の 方 式(所持情報)として登場 • PINなどのユーザー検証と組み合わせると単体で利 用 可能 •

    コンシューマ向けの課題 • 有料で購 入 する必要がある • 保存できるクレデンシャルの数に限界がある 17

18. プラットフォーム認証器 • スマートフォンのセキュア領域にクレデンシャルを保存 • セキュリティキーよりも多数保存可能 • 端末紛失、機種変更時に全てのサービスに削除、再設定の 手 間が発 生

    • 使い慣れた画 面 ロック解除と組み合わせて多要素認証を実現 • PIN、パターンロック、 生 体認証(顔、指紋) 18

19. パスキー認証 • パスワードマネージャーにクレデンシャルを保存し、複数端 末での同期を許容 • 秘密鍵の管理という観点でセキュリティ低下 • 端末紛失、機種変更時の 手 間を改善して実

    用 的に • プラットフォーム謹製、およびサードパーティーなパスワー ドマネージャーが利 用 可能 19

20. FIDO認証からパスキー認証へ 20

21. ユーザー認証の変遷 21 パスワード認証 多要素認証 FIDO認証 シンプルな パスワードレス認証 パスキー認証 別の認証要素 を

    足 し算 パスワード認証 を引き算 パスワードマネージャー の管理による利便性向上 公開鍵暗号 方 式の利 用 と フィッシング耐性 セキュリティキー ＋ユーザー検証 パスワードレス認証

22. パスキー認証の 導 入 パターンと検討事項 22

23. パスキー認証導 入 のモチベーション • サービス全体、もしくは特定機能を利 用 するユーザーの利便 性と安全性を 高 めたい

    • より便利で安全な認証 方 式を利 用 可能にしたい • 多要素認証によるSMS送信料などのコストを削減したい 23

24. パスキー認証の導 入 パターン • 既存の認証 方 式にパスキー認証を追加 • パスキー認証の必須化 24

25. 既存の認証 方 式にパスキー認証を追加 • 任意でパスキー認証を利 用 可能にする • よく利 用

    する端末では便利にログインできる 25

26. 導 入 のステップ 1. パスキー管理機能 2. ログインフロー 3. パスキーの利 用

    促進 26

27. 導 入 にあたっての検討事項 • 既存のログインフローとの関係 • 既存の認証 方 式に影響を抑えつつ導 入

    • パスキー認証を優先 27

28. 既存の認証 方 式への影響を抑えつつ導 入 • Passkey Auto fi llを利 用

    して“使えるユーザーに使ってもらう” • ログインフォームの 自 動 入力 の対象にパスキーを追加 • ソーシャルログインのボタンに”パスキーでログイン”を追加 • エラー発 生 時のケアが重要 28

29. パスキーを優先 • Identi fi er-Firstパターンのロジック変更 • メールアドレスやSMS番号、ユーザーIDを先に 入力 させ、 パスキーが登録済みならパスキー認証を要求

    • 登録済みパスキーがそこで使えるかは不明 29

30. パスキーの必須化 • あるユーザー、ある機能に対してパスキー認証を強制する • 対象ユーザー：全員 or ある条件を満たす場合 • 対象機能：サービスのログイン or

    特定機能の利 用 時 • 法制度、業界ガイドライン、外部サービス利 用 のためのシス テム要件、不正ログインによる実害に伴う要件など 30

31. 導 入 のステップ 1. パスキー管理機能 2. 対象ユーザー、対象機能の場合にパスキー認証を要求 • 登録済みならば認証要求 •

    未登録ならば登録フローへ 31

32. パスキー認証の必須化の難しさ • パスキー認証の強制 自 体が難しいわけではなく、”どうし ても利 用 できないユーザー”を適切にケアできるかが重要 • 初めて利

    用 する環境、既存のパスキーが同期されていな い環境 • 非 対応環境 32

33. パスキー同期の理想と現実 • ここまではいけそう • 単 一 パスワードマネージャーのパスキーをクロスプラット フォームで同期 -> 選択肢が増える

    • パスキーのお引越し(インポート、エクスポート) ≠同期 • これは難しそう • プラットフォームアカウント同 士 のパスキー同期 33

34. 初めて利 用 する環境、既存のパスキーが 同期されていない環境 • Webアプリを提供していれば 比 較的簡単に直 面 する状況

    • パスキー認証が必須の場合 • ヘルプなどでHybrid Transportを補 足 して使ってもらう • 別の仕組みでクロスデバイスを実現 • パスキー認証が任意の場合 • 上記に加え、既存の認証 方 式へのフォールバック 34

35. 非 対応環境 • 様々なデバイスにブラウザが載っている現状において、 非 対 応環境は0にはならない • パスキー認証が必須の場合: 諦めるしかない？

    • 別の仕組みでクロスデバイスを実現 • パスキー認証が任意の場合 • 上記に加え、既存の認証 方 式へのフォールバック 35

36. パスキー管理機能 • サービスの内容が様々でも、パスキー管理機能のUXは汎 用 的なものが適 用 可能 • GoogleやFIDOアライアンスのUXガイドラインが参考に できる

    • パスキーについての説明、パスキーカード(登録済みの情 報表 示 )、ダイアログや確認フォーム 36

37. パスキー認証と 一 緒に提供したい機能 • ログインセッション管理機能 • 環境、認証 方 式の情報と合わせて管理 •

    現時点で第３者にログインされていないことを確認 • 認証強度による追加認証要求などのハンドリングに利 用 可能 37

38. パスキー認証と 一 緒に提供したい機能 • セキュリティイベントログの 生 成と確認機能 • ログイン/ログアウト、パスキー関連操作をログに残す •

    何があったのかを後から確認可能 • 自 サービス内部だけではなく、連携サービスに送る仕組 みも標準化されている 38

39. パスキー認証導 入 の先にある世界 39

40. パスキー認証＝理想のユーザー認証? • これまではパスワード認証の課題にフォーカスしていた • 今後はパスキー認証の課題にフォーカスする必要性がある • パスキー同期の限界、 非 対応環境、アカウントリカバリー •

    パスキー認証に対する脅威 40

41. パスキー認証における脅威 • デバイスへの物理アクセス • 物理的にスマートフォンを奪われる + ローカル認証突破 • 同 一

    環境にいる 人 物によるローカル認証突破 • 正規のエクスポート機能を 用 いたパスキー情報吸い出し • Hybrid Transport+ソーシャルエンジニアリング攻撃による ログインセッション取得 41

42. 仮定: SNSがパスキー認証に対応 1. 攻撃者:パスキー認証のHybrid Transport 用 QR表 示 2. ターゲット:QR読み込み、パスキー認証成功

    3. 攻撃者:ログインセッション取得成功 [悪 用 厳禁] Hybrid Transportの悪 用 42 フォローで プレゼント！ 　　　

43. パスキー導 入 の先にある世界 • ユーザー認証については今後も脅威と対策の繰り返し • サービスを安全、便利に利 用 してもらうためには 身

    元確認、 ID連携などと合わせて考える必要がある • マイナンバーカードの活 用 • デジタル認証アプリ(OIDC) • Digital Identity Wallet 43

44. 終わり 質問どうぞ！ 44