Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
webauthn_study_ritou.pdf
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
ritou
October 28, 2019
Technology
1.2k
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
webauthn_study_ritou.pdf
2019/10/28 開催の #webauthn_study の発表資料です。
https://web-study.connpass.com/event/149833/
ritou
October 28, 2019
More Decks by ritou
See All by ritou
[PR] はじめてのデジタルアイデンティティという本を書きました
ritou
2
1.3k
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
ritou
2
7.1k
パスキー導入の課題と ベストプラクティス、今後の展望
ritou
12
8.3k
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
ritou
1
190
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
ritou
4
1.8k
OIDF-J EIWG 振り返り
ritou
2
120
そのQRコード、安全ですか? / Cross Device Flow
ritou
4
680
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
ritou
3
830
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
ritou
2
1.1k
Other Decks in Technology
See All in Technology
NAB Show 2026 動画技術関連レポート / NAB Show 2026 Report
cyberagentdevelopers
PRO
0
200
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
recruitengineers
PRO
1
140
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
chanyou0311
4
2.3k
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
8maki
0
2.2k
【Cyber-sec+】経営層を"動かす"ための考え方
hssh2_bin
0
180
自宅LLMの話
jacopen
1
540
やさしいA2A入門
minorun365
PRO
12
1.8k
LayerXにおけるセキュリティ管理の現在地と次の一手
tosho
0
170
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
line_developers_tw
PRO
0
980
手塩にかけりゃいいってもんじゃない
ming_ayami
0
570
中期計画、2回作ってみた ~業務委託と正社員、両方の視点から~
demaecan
1
750
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
160
Featured
See All Featured
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
130
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
160
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
480
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
The SEO identity crisis: Don't let AI make you average
varn
0
490
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
200
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
Transcript
WebAuthnの導入事例から見る 定石と今後の課題 @ritou #webauthn_study 2019/10/28
@ritou
本日の内容 •事例から導入のポイントを整理 •2段階/2要素としての導入 •「パスワードレス」としての導入 •GOAL:不安になりそうな部分を認識し て導入に向けた一歩を踏み出す
2段階/2要素としての導入
の前に、リカバリーの話
by 誰か “FIDOはリカバリーが課題だよね”
アカウントリカバリー •利用不可能になったクレデンシャルの無効 化&再設定 •パスワード •TOTP(Secret) •リカバリーコード •Authenticator(PublicKey) •別の認証方式 or 複数登録
に収束
パスワード認証における リカバリー •忘れた •別の認証方式 + 再設定 •利用できない環境 •覚えてればあらゆる環境で利用可能
SMS/Emailへ通知における リカバリー •番号、メアドが変わった •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式
TOTPにおける リカバリー •手元の端末の設定消した、落とした •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式
リカバリーコードの リカバリー(?) •紛失、盗難 •別の認証方式 + 無効化/再発行 •一時的に利用できない環境、状況 •別の認証方式
FIDOにおける リカバリー •紛失、盗難 •別の認証方式もしくは複数登録可能 にして無効化/再設定 •利用できない環境 •別の認証方式
リカバリーは それほど問題ではない
(改めて) 2段階/2要素としての導入
導入事例 •Google, Github… •パスワード認証との組み合わせ •間違っても単一要素で通さない
どこに手を入れるか •アカウント設定 •認証 •再認証 •(2段階/2要素が必須でない限りは)新 規登録の対応は任意
アカウント設定 •追加認証を有効にする •リカバリー設定 : 別の認証方式を用意 •SMS/Emailによる通知 •リカバリーコード設定 •Authenticator(PublicKey)設定 •名前をつけるタイミング?
アカウント設定 (Github)
認証 •パスワード認証+追加認証を要求 •複数ある場合に優先する認証方式? •設定やWebAuthnの利用可否で分岐? •別の認証方式への切り替え •スキップ機能 = Cookieの所持認証?
認証(Github)
再認証 •例 : Github •「パスワード確認」していたところ に WebAuthn が利用可能
再認証(Github)
検討事項
(検討事項) リカバリー用の認証方式 •海外サービスでは最低でも2つは用意 している模様 •SMS •リカバリーコード •カスタマーサポートの負担が決まる
(検討事項) 利用可能な環境の制限 •制限する場合は管理が必要 •User-Agent •Platform or Cross-platform •Attestation
(検討事項) 追加認証要求のタイミング •パスワード認証「成功」したら要求 •パスワード認証結果に関わらず要求 •パスワード認証前に要求
まとめ •アカウント設定のあたりは定石と呼 べるものができており、環境を縛る かどうかぐらいか •認証部分はまだ考慮すべき点がある かも?
パスワードレスとしての導入
2段階/2要素に比べて なんとなく不安?
やはりリカバリー?
(あなたの思う) パスワードレスとは? •パスワードを使わない •所持 or 生体 or 記憶(ローカル?) •FIDO UP(UserPresent)はNG?
•FIDO UV(UserVerified)相当 •所持 + (記憶 or 生体)
パスワードを使わない •単一要素の認証方式とFIDO UVの組み 合わせ •SMS/Email/Pushへの通知 •ソーシャルログイン •緩いとこに攻撃を受ける覚悟が必要
FIDO UV相当 •複数要素の認証方式が必要 •それがなかったからFIDOなんだろ? •他のサービスで2段階/2要素してる IdPとのID連携? •IdPがMFAを保証してくれたら使え そう -> OpenID
Connect!
どこに手を入れるか •アカウント設定 •認証 •再認証 •新規登録(FIDO必須な場合)
検討事項
(検討事項) Resident Keyの利用 •サービスのユーザー識別を先にする かどうか •メアドやSMSを入れる手間を減らせ るか? •RK非対応環境ではどうする?
RedidentKey利用アリ (Microsoft)
RedidentKey利用ナシ (Y!J)
(検討事項) 新規登録フロー、リカバリー •リカバリー考慮して効率的に2種類 の認証方式を設定するには? •新規登録も要件の分解が必要 •連絡先、属性情報、クレデンシャル •#iddance でやるよ
まとめ •リカバリー用に別の認証方式は必要 •サービスが必要とする認証要素によ り、実装に幅が出そう •新規登録フローについてはまだ手本 となるサービスはなさそう
終わり •質問などは @ritou までください •11/1(金)に #iddance やります
ritou
cyberagentdevelopers
recruitengineers
chanyou0311
8maki
hssh2_bin
jacopen
minorun365
tosho
line_developers_tw
ming_ayami
demaecan
musubi
stuffmc
charlesmeaden
ryanjones
panda_program
katarinadahlin
lemiorhan
signer
marktimemedia
destraynor
varn
sarafernandez
aleyda
