開発基盤部会 Blog

開発基盤部会 Blog >> 記事詳細

2019/03/01

Security Key by YubicoというFIDO2.0認証器を評価する(3)

Tweet ThisSend to Facebook | by:nishino
 だいぶ間が空いてしまいましたが、前回の続きです。

<2018/9/12 WG>

 ...と言っても、だいぶ前の「2018/9/12」頃に開催したWGの話ですが、以下のような手順で、GoogleアカウントにFIDO2認証器による二要素認証(以降、2FAと略す)を追加できるのですが、


 開始早々に、「これ、やっぱり、コンシューマー系でやらないよねぇ?」という感じになってしまいました。

 FIDO2認証器、コンシューマー向けでは使用する動機が薄く、エンタープライズ向けでも「スマホ認証アプリ」(ワンタイム・パスワードやプッシュ通知)や、他の認証ソリューションが敵になると予測でき、「結構難しいね。」という感じです。

 しかし、エンタープライズで”強制"されれば効果を発揮するかもしれません。実際に、Googleの企業内では使用しているらしく、長いこと問題が起きていないようなので、これによるセキュリティ向上はホボ確実だと"は"思います。


<2019/2/20 WG>

 ...と言う事で、上記から、また半年ぐらい経過してますが、2019/2/20、再び、WGを開催して、認証界隈のトレンド等の話をさせて頂きました。

認証界隈の基礎から最新動向までの、四方山話

<FIDO2(WebAuthn)のユースケース>

 その中で、そもそも、FIDO2(WebAuthn)のユースケースってどうなっているんだろうか?その辺りを、調べてみた結果を、この辺にサマりましたが、2FAとパスワード・レス認証で使用されており、基本的には、前者の2FAで利用されているケースが多いと思います(将来的には、パスワード・レス認証の利用が増えるとは予測されている)。


Googleで2FAにYubiKeyを使用する。

 しかし、利用した場合、FIDO2認証器を「ロスト」してしまった場合の、2FAの解除やアカウントの復旧など、課題も多い模様です。

<スマホ認証アプリ(プッシュ通知)>

 一方で、最近出て来た「スマホ認証アプリ」(プッシュ通知)の方が、2FAとしては、FIDO2より利便性が高いのでは?と言う感じがしています。

 Googleでは2FAに「スマホ認証アプリ」(プッシュ通知)を設定できます。また、それだけではなく、ログイン自体にも利用できるようにしてきていて、同期で使用しているアカウントはパスワード記憶しなくなった様なので、その場合、「スマホ認証アプリ」(プッシュ通知)を設定するのがイイかも知れないと思いました。


パスワードの代わりにスマートフォンでサインインする。

 ...また、「スマホ認証アプリ」(プッシュ通知)でログインというコンテキストでは、最近、CIBAが盛り上がってる気がします。CIBAについては、ココで軽く触れかと思いますが、厳密に言えばCIBAはOpenID Connectの拡張仕様なので、ClientからAuthZ Server(Sts/Idp)と連携して使用することになります。こちらは来期に対応予定です。

<フィッシングに対する対応とFIDO2>

 しかし、「スマホ認証アプリ」(プッシュ通知)は、フィッシングに対する対応が出来ていないという話があります。これはログイン画面と「スマホ認証アプリ」(プッシュ通知)のリンクが出来ていないことに起因しているようで、コレを解決するために、今後、「スマホ認証アプリ」にFIDO2のメカニズムが活用されていく可能性があるようです。


 これには、プッシュ通知ではなく、Bluetooth系の技術が使われる可能性がある模様です(詳しくはコチラを参照)。なお、CIBAでは、現時点でBiding Messageと言う、単なる乱数みたいな文字列をユーザがチェックすることでフィッシングを防止する模様です。



 ...と言う事で(、秋頃に対応と言ったのに、もう春になってしまいましたが)、ボチボチ、FIDO2(WebAuthn)対応を進めていく予定です。詳細はコチラに纏めていく予定です。

 使用するライブラリについては、前回も言いましたが、私は、.NETを使用するので、abergs/fido2-net-libを使用する予定ですが、Javaのwebauthn4jというライブラリは日本の方が書かれているようです。詳しくはコチラをご参照下さい。
09:00 | 投票する | 投票数(1) | コメント(0) | ご報告