#idcon 15th ritou 2factor auth
•7 likes•2,646 views
Report
Share
#idcon 15th で発表したスライドです
![[SC07] Azure AD と Ruby で学ぶ OpenID Connect!](https://cdn.slidesharecdn.com/ss_thumbnails/sc07-170614044214-thumbnail.jpg?width=384&fit=bounds)
More Related Content
What's hot
What's hot(20)
Viewers also liked
Viewers also liked(20)
Similar to #idcon 15th ritou 2factor auth
Similar to #idcon 15th ritou 2factor auth(20)
More from Ryo Ito
More from Ryo Ito(17)
Recently uploaded
Recently uploaded(12)
#idcon 15th ritou 2factor auth
- 1. C向けサービスで2要素認証を 普及させるためにできること @ritou 2013/2/1 #idcon 15th
- 2. 2 自己紹介 いとう りょう OpenID Foundation Japan Evangelist 株式会社ミクシィ Twitter : @ritou 秋田の猫 Blog : http://d.hatena.ne.jp/ritou/ #idcon 15th ~ YConnect & Future of Authentication ~
- 3. 3 去年話題になった認証周りのネタ パスワード管理 : そのまま表示/送信/保存dis ログイン画面のURL : HTTPSアタリマエ 2要素認証 : Gmail #idcon 15th ~ YConnect & Future of Authentication ~
- 4. 4 現状と課題 #idcon 15th ~ YConnect & Future of Authentication ~
- 5. 5 C向けサービスにおける2要素認証の現状 金融系、ゲームなどでは以前から普及 ユーザー数の多いサービスも実装 実装方法 : ワンタイムパスワードが流行り ID/PW認証 + αをオプションで提供 脆弱性や課題については黙認状態 #idcon 15th ~ YConnect & Future of Authentication ~
- 6. 6 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 大手サービス ネットバンキング #idcon 15th ~ YConnect & Future of Authentication ~
- 7. 7 こんなつぶやきをよく見かける 「○○も2要素認証に対応してください」 #idcon 15th ~ YConnect & Future of Authentication ~
- 8. 8 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー ? ? 乱数表 大手サービス ネットバンキング 現在未対応なサービス #idcon 15th ~ YConnect & Future of Authentication ~
- 9. 9 普及への課題 ついてこれないユーザー サービスごとの設定はめんどくさい 導入しにくいプロトコル POP/IMAP/SMTP, XMPP, … 認証とリソースアクセスの強い結びつき #idcon 15th ~ YConnect & Future of Authentication ~
- 10. 10 解決案 #idcon 15th ~ YConnect & Future of Authentication ~
- 11. 11 ソフトウェア OpenID Connectで トークン, ハードウェア 大手サービスの OTP Mail/SMS 認証結果を利用 トークン オンラインゲーム ユーザー 乱数表 現在未対応なサービス 大手サービス ネットバンキング (認証プロバイダ) (認証結果を利用) #idcon 15th ~ YConnect & Future of Authentication ~
- 12. 12 OpenID Connectを使おう ついてこれないユーザー サービスごとの設定はめんどくさい→ OPに集約 対応できないプロトコル POP/IMAP/SMTP, XMPP, … 認証とリソースアクセスの強い結びつき → アクセストークンを利用して分離 #idcon 15th ~ YConnect & Future of Authentication ~
- 13. 13 OpenID Providerがやるべきこと →「認証強度の見える化」 対応する認証強度を開示 認証したユーザーの認証強度を提供 求められる認証強度をRPに指定させる #idcon 15th ~ YConnect & Future of Authentication ~
- 14. 14 Relying Partyがやるべきこと 自らのサービス・ユーザーアクションに求め られる認証強度を意識する 適切なタイミング、強度で再認証を要求する #idcon 15th ~ YConnect & Future of Authentication ~
- 15. 15 残る課題 #idcon 15th ~ YConnect & Future of Authentication ~
- 16. 16 残る課題 2要素認証を採用しないOPはオワコン? 1ユーザー、1OPの風潮 ID/PW + αでは組み合わせにくい? #idcon 15th ~ YConnect & Future of Authentication ~
- 17. 17 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 課金などを扱うRP 2要素認証 × ネットバンキング 対応OP 2要素認証 非対応OP
- 18. 18 追加認証に特化した認証プロバイダ RP側が既存OPとの組み合わせ Trustが重要 B向けに実績のあるサービスの進出? 物理デバイス、生体認証などの可能性 #idcon 15th ~ YConnect & Future of Authentication ~
- 19. 19 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 課金などを扱うRP 2要素認証 ネットバンキング 対応OP ソフトウェア トークン, 追加認証 + 2要素認証 OTP Mail/SMS 専用OP 非対応OP
- 20. 20 ソフトウェア トークン, ハードウェア OTP Mail/SMS トークン オンラインゲーム ユーザー 乱数表 課金などを扱うRP + 2要素認証 ネットバンキング 対応OP ソフトウェア トークン, 追加認証 OTP Mail/SMS 専用OP
- 21. 21 まとめ 最大の課題は “めんどくさい”. OpenID Connectは重要である 追加認証に特化した認証プロバイダ #idcon 15th ~ YConnect & Future of Authentication ~
- 23. 23 SecondAuth https://2ndauth.openidconnect.info メールアドレスがあれば登録可能 OTP認証のみ実装 OpenID Connect OP 実装してみて思ったことをいくつか紹介したい #idcon 15th ~ YConnect & Future of Authentication ~
- 24. 24 YConnect, Google, Facebookから 受け取った確認済みメールアドレスを利用 #idcon 15th ~ YConnect & Future of Authentication ~
- 25. 25 Google Authenticatorを使う (Server側の処理) ユーザー単位にSecret生成 設定用のQRコード生成 otpauth://totp/(メールアドレス)? secret=(base32_encoded_otp_secret) #idcon 15th ~ YConnect & Future of Authentication ~
- 26. 26 Google Authenticatorを使う (ユーザー側の処理) アプリをインストール あとはQRコードを読み取るだけ #idcon 15th ~ YConnect & Future of Authentication ~
- 27. 27 リモートログアウト 現在アクティブなセッションを一元管理 手元で別の端末をログアウト可能 Facebook、Googleが実装 #idcon 15th ~ YConnect & Future of Authentication ~
- 28. 28 OpenID Connect Session Management OPのログアウトをRPから検知するための仕様 AuthZ Responseにセッション識別子 iframe + postMessageを送り続ける #idcon 15th ~ YConnect & Future of Authentication ~
- 29. 29 組み合わせてみる 状況:ある環境でOP/RP利用,ログアウト忘れ • OP : ログイン • OP : ログイン • RP : ログイン • RP : - #idcon 15th ~ YConnect & Future of Authentication ~
- 30. 30 組み合わせるとこんなことができる リモートでOPのセッションを落とす • OP : ログアウト • OP : ログイン • RP : ログイン • RP : - #idcon 15th ~ YConnect & Future of Authentication ~
- 31. 31 組み合わせるとこんなことができる RPが変更を検知してログアウト • OP : ログアウト • OP : ログイン • RP : ログアウト • RP : - #idcon 15th ~ YConnect & Future of Authentication ~
- 32. 32 作ってみて思ったこと 確認済みメールアドレスは便利 Google Authenticatorは簡単に使える OIDC Session Management+リモートログ アウト機能の組み合わせはイケてる #idcon 15th ~ YConnect & Future of Authentication ~
- 33. 33 もっと技術的な話をしたいあなたへ #idcon mini のお知らせ 少人数、USTなし、トイレ休憩なし アンカンファレンスもどき 技術屋が気になることをじっくりと話せる場 次回予定:未定 「#idcon miniも気になる」とつぶやいても らえばモチベーション上がります #idcon 15th ~ YConnect & Future of Authentication ~