Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

#idcon 15th ritou 2factor auth

2,995 views

Published on

#idcon 15th で発表したスライドです

Published in: Technology
  • Be the first to comment

#idcon 15th ritou 2factor auth

  1. 1. C向けサービスで2要素認証を普及させるためにできること @ritou 2013/2/1 #idcon 15th
  2. 2. 2 自己紹介 いとう りょう OpenID Foundation Japan Evangelist 株式会社ミクシィ Twitter : @ritou 秋田の猫 Blog : http://d.hatena.ne.jp/ritou/ #idcon 15th ~ YConnect & Future of Authentication ~
  3. 3. 3 去年話題になった認証周りのネタ パスワード管理 : そのまま表示/送信/保存dis ログイン画面のURL : HTTPSアタリマエ 2要素認証 : Gmail #idcon 15th ~ YConnect & Future of Authentication ~
  4. 4. 4 現状と課題 #idcon 15th ~ YConnect & Future of Authentication ~
  5. 5. 5 C向けサービスにおける2要素認証の現状 金融系、ゲームなどでは以前から普及 ユーザー数の多いサービスも実装 実装方法 : ワンタイムパスワードが流行り ID/PW認証 + αをオプションで提供 脆弱性や課題については黙認状態 #idcon 15th ~ YConnect & Future of Authentication ~
  6. 6. 6 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 大手サービス ネットバンキング #idcon 15th ~ YConnect & Future of Authentication ~
  7. 7. 7 こんなつぶやきをよく見かける 「○○も2要素認証に対応してください」 #idcon 15th ~ YConnect & Future of Authentication ~
  8. 8. 8 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー ? ? 乱数表 大手サービス ネットバンキング 現在未対応なサービス #idcon 15th ~ YConnect & Future of Authentication ~
  9. 9. 9 普及への課題 ついてこれないユーザー サービスごとの設定はめんどくさい 導入しにくいプロトコル POP/IMAP/SMTP, XMPP, … 認証とリソースアクセスの強い結びつき #idcon 15th ~ YConnect & Future of Authentication ~
  10. 10. 10 解決案 #idcon 15th ~ YConnect & Future of Authentication ~
  11. 11. 11 ソフトウェア OpenID Connectで トークン, ハードウェア 大手サービスの OTP Mail/SMS 認証結果を利用 トークン オンラインゲーム ユーザー 乱数表 現在未対応なサービス 大手サービス ネットバンキング (認証プロバイダ) (認証結果を利用) #idcon 15th ~ YConnect & Future of Authentication ~
  12. 12. 12 OpenID Connectを使おう ついてこれないユーザー サービスごとの設定はめんどくさい→ OPに集約 対応できないプロトコル POP/IMAP/SMTP, XMPP, … 認証とリソースアクセスの強い結びつき → アクセストークンを利用して分離 #idcon 15th ~ YConnect & Future of Authentication ~
  13. 13. 13 OpenID Providerがやるべきこと →「認証強度の見える化」 対応する認証強度を開示 認証したユーザーの認証強度を提供 求められる認証強度をRPに指定させる #idcon 15th ~ YConnect & Future of Authentication ~
  14. 14. 14 Relying Partyがやるべきこと 自らのサービス・ユーザーアクションに求め られる認証強度を意識する 適切なタイミング、強度で再認証を要求する #idcon 15th ~ YConnect & Future of Authentication ~
  15. 15. 15 残る課題 #idcon 15th ~ YConnect & Future of Authentication ~
  16. 16. 16 残る課題 2要素認証を採用しないOPはオワコン? 1ユーザー、1OPの風潮 ID/PW + αでは組み合わせにくい? #idcon 15th ~ YConnect & Future of Authentication ~
  17. 17. 17 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 課金などを扱うRP 2要素認証 × ネットバンキング 対応OP 2要素認証 非対応OP
  18. 18. 18 追加認証に特化した認証プロバイダ RP側が既存OPとの組み合わせ Trustが重要 B向けに実績のあるサービスの進出? 物理デバイス、生体認証などの可能性 #idcon 15th ~ YConnect & Future of Authentication ~
  19. 19. 19 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 課金などを扱うRP 2要素認証 ネットバンキング 対応OP ソフトウェア トークン, 追加認証 + 2要素認証 OTP Mail/SMS 専用OP 非対応OP
  20. 20. 20 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 課金などを扱うRP + 2要素認証 ネットバンキング 対応OP ソフトウェア トークン, 追加認証 OTP Mail/SMS 専用OP
  21. 21. 21 まとめ 最大の課題は “めんどくさい”. OpenID Connectは重要である 追加認証に特化した認証プロバイダ #idcon 15th ~ YConnect & Future of Authentication ~
  22. 22. 実際に追加認証に特化した認証プロバイダを作ってみた
  23. 23. 23 SecondAuth https://2ndauth.openidconnect.info メールアドレスがあれば登録可能 OTP認証のみ実装 OpenID Connect OP 実装してみて思ったことをいくつか紹介したい #idcon 15th ~ YConnect & Future of Authentication ~
  24. 24. 24 YConnect, Google, Facebookから 受け取った確認済みメールアドレスを利用 #idcon 15th ~ YConnect & Future of Authentication ~
  25. 25. 25 Google Authenticatorを使う (Server側の処理) ユーザー単位にSecret生成 設定用のQRコード生成 otpauth://totp/(メールアドレス)? secret=(base32_encoded_otp_secret) #idcon 15th ~ YConnect & Future of Authentication ~
  26. 26. 26 Google Authenticatorを使う (ユーザー側の処理) アプリをインストール あとはQRコードを読み取るだけ #idcon 15th ~ YConnect & Future of Authentication ~
  27. 27. 27 リモートログアウト 現在アクティブなセッションを一元管理 手元で別の端末をログアウト可能 Facebook、Googleが実装 #idcon 15th ~ YConnect & Future of Authentication ~
  28. 28. 28 OpenID Connect Session Management OPのログアウトをRPから検知するための仕様 AuthZ Responseにセッション識別子 iframe + postMessageを送り続ける #idcon 15th ~ YConnect & Future of Authentication ~
  29. 29. 29 組み合わせてみる 状況:ある環境でOP/RP利用,ログアウト忘れ • OP : ログイン • OP : ログイン • RP : ログイン • RP : - #idcon 15th ~ YConnect & Future of Authentication ~
  30. 30. 30 組み合わせるとこんなことができる リモートでOPのセッションを落とす • OP : ログアウト • OP : ログイン • RP : ログイン • RP : - #idcon 15th ~ YConnect & Future of Authentication ~
  31. 31. 31 組み合わせるとこんなことができる RPが変更を検知してログアウト • OP : ログアウト • OP : ログイン • RP : ログアウト • RP : - #idcon 15th ~ YConnect & Future of Authentication ~
  32. 32. 32 作ってみて思ったこと 確認済みメールアドレスは便利 Google Authenticatorは簡単に使える OIDC Session Management+リモートログ アウト機能の組み合わせはイケてる #idcon 15th ~ YConnect & Future of Authentication ~
  33. 33. 33 もっと技術的な話をしたいあなたへ #idcon mini のお知らせ 少人数、USTなし、トイレ休憩なし アンカンファレンスもどき 技術屋が気になることをじっくりと話せる場 次回予定:未定 「#idcon miniも気になる」とつぶやいても らえばモチベーション上がります #idcon 15th ~ YConnect & Future of Authentication ~

×