Uploaded byHiroshiUeno15
PDF, PPTX344 views

Iddance2 fido

iddanceで発表したFIDOについての内容です。

Embed presentation

Download as PDF, PPTX
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 2019年11⽉1⽇ ヤフー株式会社 上野博司 FIDO認証の基礎から最新動向の共有
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. ⾃⼰紹介 2 名前:上野 博司 所属:ヤフー株式会社 主な業務:ユーザーセキュリティ 認証認可開発運⽤ 認証系の活動: FIDO2認定取得したサーバーを世界で初めて開発 FIDO2をサービス事業者として世界で最初にリリース Web+DB PressにWebAuthnの記事を寄稿 CertificationIn recognition of Yahoo Japan Corporation’s achievement of FIDO2® Certification Company: Yahoo Japan Corporation Product: Yahoo! JAPAN FIDO2® Server Specification: FIDO2 Specification Version: 2.0 (2018-07-02) Implementation Class: Server Policy Version: 1.3.4 Interoperability Date: August 22nd , 2018 Conformance Self-Validation Date: August 22nd , 2018 Derivative: No Source Certificate(s): N/A Certificate No. FIDO20020180926009 Issued September 26th , 2018
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. ⽬次 3 • FIDO認証とは? • FIDO認証導⼊で気になること • FIDO認証の最新状況
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. FIDO認証とは?
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証とは? 5 ID・パスワード 検証・識別 検証 検証結果 識別 秘密鍵 公開鍵ハッシュ化された パスワード パスワード FIDO認証
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO2とは? 6 FIDO認証に基づくFIDO仕様群 FIDO UAF FIDO U2F FIDO2 WebAuthn CTAP
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ 7 • 登録 • 認証
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ 8 • 登録 • 認証
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 9 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 10 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 登録の開始をFIDOサーバーに通知 ① ② ①
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 11 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ パラメータ群を 作成しRPの APPに送り返す ③ ④
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 12 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 返却されたパラメータ群を整 形して、アテステーションを 作成するメソッド を実⾏ ⑤ ⑥
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 13 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 本⼈性の検証を⾏う ⑦
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 14 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 鍵ペアを⽣成し、アテス テーションを作成する ⑧
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 15 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 公開鍵を含んだアテステーション をFIDOサーバーに送る ⑨
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 16 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ アテステーションの検証を⾏ い、公開鍵を保存する ⑩
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 17 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 登録完了をユーザーに通知する ⑪ ⑫
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ 18 • 登録 • 認証
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 19 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 20 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ ① 認証の開始をFIDOサーバーに通知 ① ② ※サンプルの画像では「次へ」ボタンを押す前にIDを⼊れる必要がある
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 21 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ パラメータ群を 作成しRPの APPに送り返す ③ ④
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 22 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 返却されたパラメータ群を整形して、署名 データを作成するメソッド を実⾏ ⑤ ⑥
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 23 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 本⼈性の検証を⾏う ⑦
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 24 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 検証結果に対して秘密鍵で署名し、 署名データを作成する ⑧
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 25 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 署名データをFIDOサーバー に送る ⑨
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 26 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 保存した公開鍵を使い署名 データを検証する ⑩
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 27 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ Cookieやtokenを発⾏し、認証完 了ユーザーに通知する or そのま まサービスにリダイレクトする ⑪ ⑫
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 29 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 30 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 31 デバイスの紛失や破損、別端末への引き継ぎなどに備 えてAR対策はサービスを運営していく上でとても⼤事 になります。 紛失 破損FIDOの使えない デバイス
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 32 Yahoo! JAPANではパスワードに依存せず、 様々なプラットフォームで使える本⼈確認⼿段 を提供しています。 パスワードに依存しないFIDO以外の認証⽅法 メール SMS 例
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 33 https://fidoalliance.org/recommended-account-recovery-practices/
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 34 導⼊先サービスのセキュリティとUXのバラ ンスにおいてアカウントリカバリーはとても ⼤事! Usability Security
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 35 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. エンタープライズとコンシューマー エンタープライズ(企業)導⼊とコンシューマー(⼀般消費者)導⼊では FIDO認証を導⼊する際にそれぞれ気にしないといけない点があります 36 認証器 プラットフォーム (OSやアプリやブラウザ) AR セキュリティとUX エンタープラ イズ • 特定の認証器を配 布しやすい • シス管の意向に よって認証器が制 限されやすい • 特定のプラットフォームの 指定がしやすい • 会社全体が古いプラット フォームの場合は部分導 入すら困難 • ヘルプ窓口など の対面対応がし やすい • セキュリティを上げやす いがUXが上がりにくい コンシュー マー • ユーザーにセキュリ ティーキーなどの高 価なキーを買っても らうことが困難 • 複数プラットフォーム対応 を常に考えないといけな い • 部分的な導入はしやすい • オンラインでの AR手段に依存し やすい(実店舗窓 口が充実してい る場合は別) • UXを上げやすいがセ キュリティが上がりにく い(特にARを考える と . . .) ※あくまでエンタープライズとコンシューマーを⽐べた場合の話です
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 37 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証とID連携 38 & • FIDO認証とID連携とはとても相性が良い • 例:Yahoo! JAPANでもOpenID Connect を⽤いてYahoo! JAPAN以外の企業とID連携を⾏っており、FIDO2を導⼊する ことでサードパーティーにもFIDO認証を使うことが可能となっ ている
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. FIDO認証とID連携 39 End User Federation RP IdP(Yahoo! JAPAN) Authorization Server Authentication ServerStart OpenID Connect Authorization Request(Redirect) Password login Authorization Code(Redirect) Token Request Access Token / Refresh Token / ID Token ID連携開始 Token発⾏完了
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 40 FIDO認証とID連携 End User Federation RP IdP(Yahoo! JAPAN) Authorization Server Authentication ServerStart OpenID Connect Authorization Request(Redirect) Password login / Consent Authorization Code(Redirect) Token Request Access Token / Refresh Token / ID Token ID連携開始 Token発⾏完了 Authentication ID Federation ID Federation
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 41 FIDO認証とID連携 End User Federation RP IdP(Yahoo! JAPAN) Authorization Server FIDO2 ServerStart OpenID Connect Authorization Request(Redirect) WebAuthn Authorization Code(Redirect) Token Request Access Token / Refresh Token / ID Token ID連携開始 Token発⾏完了 ID Federation ID Federation
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. FIDOの最新状況
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 初のFIDOバイオメトリクス部品認定 43 Samsung Galaxyの指紋認証システムが初 のFIDOバイオメトリクス部品認定を取得 FIDOアライアンスが新たに策定したバイオ メトリクス部品認定プログラムにおいて、 Samsung Galaxy S10・S10+搭載の超音波 指紋センサーがFIDOバイオメトリクス部品 認定を取得 (2019年2月20日) https://prtimes.jp/main/html/rd/p/000000007.000037279.html
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. Android 7+ がFIDO2認定取得 44 Android 7.0以降のAndroid OS端末 がFIDO2認定を正式に取得 Android OS端末がWindowsや Chrome OS、macOSデバイスから Googleアカウントにログインする際 Security Keyとして活用可能 https://fidoalliance.org/news-your-google-android-7-phone-is-now-a-fido2-security-key https://fidoalliance.org/android-now-fido2-certified-accelerating-global-migration-beyond-passwords/
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. LINE Pay 45 LINEがiOS版(v1.4.0~)のLINE Payで FIDO2対応を開始 WebAuthnはなくwhitebox encryption搭載 して認証器はアプリ内に内製 https://twitter.com/nao_ichihara/status/1176333351428341760 https://www.slideshare.net/FIDOAlliance/a-first-step-to-a-world-without-passwords
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. ゆうちょ銀⾏ 46 ゆうちょダイレクトへのログイン 時と送⾦の本⼈認証でFIDOが使 えるようになっている この対応でハードウェアトークン が不要となって利便性の向上を 図っている https://www.jp-bank.japanpost.jp/aboutus/press/2019/pdf/pr190425.pdf
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. Web Authntication Level2 47 Web Authentication Level2がEditorʼs Draftで議論がされ始 めた https://w3c.github.io/webauthn/
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. EOP

More Related Content

PDF
Fido self issued
byHiroshiUeno15
 
PDF
FIDO認証によるパスワードレスログイン実装入門
byYahoo!デベロッパーネットワーク
 
PDF
FIDOのキホン
byYahoo!デベロッパーネットワーク
 
PPTX
20150723 最近の興味動向 fido編
byTatsuya (達也) Katsuhara (勝原)
 
PDF
Idcon gomi-052715-pub
byHidehito Gomi
 
PPTX
Idcon25 FIDO2 の概要と YubiKey の実装
byHaniyama Wataru
 
PDF
金融向けoへの認証の導入
byFIDO Alliance
 
PPTX
認証サービスへのWebAuthnの導入
byTakashiTsukamoto4
 
Fido self issued
byHiroshiUeno15
 
FIDO認証によるパスワードレスログイン実装入門
byYahoo!デベロッパーネットワーク
 
FIDOのキホン
byYahoo!デベロッパーネットワーク
 
20150723 最近の興味動向 fido編
byTatsuya (達也) Katsuhara (勝原)
 
Idcon gomi-052715-pub
byHidehito Gomi
 
Idcon25 FIDO2 の概要と YubiKey の実装
byHaniyama Wataru
 
金融向けoへの認証の導入
byFIDO Alliance
 
認証サービスへのWebAuthnの導入
byTakashiTsukamoto4
 

What's hot

PDF
Tokbind-fido
byKaoru Maeda
 
PPTX
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
byYahoo!デベロッパーネットワーク
 
PDF
Azure ADとWindows 10によるドメイン環境の拡張
byNaohiro Fujie
 
PDF
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
byJun Kurihara
 
PDF
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
PDF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
PDF
VMware Horizon へ YubiKey を使って認証をキメる話
byWataru Unno
 
PPTX
WebAuthnのRP実装を簡単にしたい話
by5 6
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PPTX
FIDO2 と WebAuthn (with Security Key by Yubico)
byHaniyama Wataru
 
PDF
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
byTakashi Yahata
 
PPTX
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
byTakashi Yahata
 
PDF
Yahoo! JAPANのOpenID Certified Mark取得について
byMasaru Kurahayashi
 
PDF
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
byMasaru Kurahayashi
 
PPTX
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
byTakashi Yahata
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
PPTX
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
PDF
Microsoftの認証システムの歴史と 過渡期におけるWAPの活用 +Next Generation Credentials
byNaohiro Fujie
 
PDF
IETF94 M2M Authentication関連報告
byMasaru Kurahayashi
 
PDF
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
Tokbind-fido
byKaoru Maeda
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
byYahoo!デベロッパーネットワーク
 
Azure ADとWindows 10によるドメイン環境の拡張
byNaohiro Fujie
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
byJun Kurihara
 
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
VMware Horizon へ YubiKey を使って認証をキメる話
byWataru Unno
 
WebAuthnのRP実装を簡単にしたい話
by5 6
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
FIDO2 と WebAuthn (with Security Key by Yubico)
byHaniyama Wataru
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
byTakashi Yahata
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
byTakashi Yahata
 
Yahoo! JAPANのOpenID Certified Mark取得について
byMasaru Kurahayashi
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
byMasaru Kurahayashi
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
byTakashi Yahata
 
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
Microsoftの認証システムの歴史と 過渡期におけるWAPの活用 +Next Generation Credentials
byNaohiro Fujie
 
IETF94 M2M Authentication関連報告
byMasaru Kurahayashi
 
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 

Similar to Iddance2 fido

PDF
Advancement of FIDO Technology
byFIDO Alliance
 
PDF
Nii open forum_053019_dr.gomi
byFIDO Alliance
 
PDF
FIDO2 ~ パスワードのいらない世界へ
byFIDO Alliance
 
PDF
パスワードのいらない世界へ  FIDO認証の最新状況
byFIDO Alliance
 
PDF
2020 0218 - パスワードのいらない世界へ:FIDOアライアンスとFIDO認証の最新状況
byFIDO Alliance
 
PDF
20200303 ISR プライベートセミナー:パスワードのいらない世界へ
byFIDO Alliance
 
PDF
2019 FIDO Tokyo Seminar - パスワードレス認証の実現に向けた 日本におけるFIDO展開の最新状況
byFIDO Alliance
 
PDF
20190704 パスワードに代わる新たなオンライン認証を推進するFIDO(ファイド)アライアンスの記者説明会
byFIDO Alliance
 
PDF
Bonfire API #1 生体認証のAPI化
byYahoo!デベロッパーネットワーク
 
PDF
FIDO2導入とヤフーがめざすパスワードレスの世界
byFIDO Alliance
 
PDF
Tokyo press 2019 slides presentations
byFIDO Alliance
 
PDF
How FIDO Works
byKeiko Itakura
 
PDF
パスワードのいらない世界へ
byKeiko Itakura
 
PDF
FIDO認証で「あんしんをもっと便利に」
byLINE Corporation
 
PDF
Fido認証概要説明
byFIDO Alliance
 
PDF
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
byFIDO Alliance
 
PDF
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
byFIDO Alliance
 
PDF
What are Passkeys.pdf
byKeiko Itakura
 
PDF
FIDOセキュリティ認定の概要と最新状況
byFIDO Alliance
 
PDF
新しい認証技術FIDOの最新動向
byFIDO Alliance
 
Advancement of FIDO Technology
byFIDO Alliance
 
Nii open forum_053019_dr.gomi
byFIDO Alliance
 
FIDO2 ~ パスワードのいらない世界へ
byFIDO Alliance
 
パスワードのいらない世界へ  FIDO認証の最新状況
byFIDO Alliance
 
2020 0218 - パスワードのいらない世界へ:FIDOアライアンスとFIDO認証の最新状況
byFIDO Alliance
 
20200303 ISR プライベートセミナー:パスワードのいらない世界へ
byFIDO Alliance
 
2019 FIDO Tokyo Seminar - パスワードレス認証の実現に向けた 日本におけるFIDO展開の最新状況
byFIDO Alliance
 
20190704 パスワードに代わる新たなオンライン認証を推進するFIDO(ファイド)アライアンスの記者説明会
byFIDO Alliance
 
Bonfire API #1 生体認証のAPI化
byYahoo!デベロッパーネットワーク
 
FIDO2導入とヤフーがめざすパスワードレスの世界
byFIDO Alliance
 
Tokyo press 2019 slides presentations
byFIDO Alliance
 
How FIDO Works
byKeiko Itakura
 
パスワードのいらない世界へ
byKeiko Itakura
 
FIDO認証で「あんしんをもっと便利に」
byLINE Corporation
 
Fido認証概要説明
byFIDO Alliance
 
Commmentary on FIDO Specifications (Japanese) 仕様に関する日本語での補足解説
byFIDO Alliance
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
byFIDO Alliance
 
What are Passkeys.pdf
byKeiko Itakura
 
FIDOセキュリティ認定の概要と最新状況
byFIDO Alliance
 
新しい認証技術FIDOの最新動向
byFIDO Alliance
 

Iddance2 fido

  • 1.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. 2019年11⽉1⽇ ヤフー株式会社 上野博司 FIDO認証の基礎から最新動向の共有
  • 2.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. ⾃⼰紹介 2 名前:上野 博司 所属:ヤフー株式会社 主な業務:ユーザーセキュリティ 認証認可開発運⽤ 認証系の活動: FIDO2認定取得したサーバーを世界で初めて開発 FIDO2をサービス事業者として世界で最初にリリース Web+DB PressにWebAuthnの記事を寄稿 CertificationIn recognition of Yahoo Japan Corporation’s achievement of FIDO2® Certification Company: Yahoo Japan Corporation Product: Yahoo! JAPAN FIDO2® Server Specification: FIDO2 Specification Version: 2.0 (2018-07-02) Implementation Class: Server Policy Version: 1.3.4 Interoperability Date: August 22nd , 2018 Conformance Self-Validation Date: August 22nd , 2018 Derivative: No Source Certificate(s): N/A Certificate No. FIDO20020180926009 Issued September 26th , 2018
  • 3.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. ⽬次 3 • FIDO認証とは? • FIDO認証導⼊で気になること • FIDO認証の最新状況
  • 4.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. FIDO認証とは?
  • 5.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証とは? 5 ID・パスワード 検証・識別 検証 検証結果 識別 秘密鍵 公開鍵ハッシュ化された パスワード パスワード FIDO認証
  • 6.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO2とは? 6 FIDO認証に基づくFIDO仕様群 FIDO UAF FIDO U2F FIDO2 WebAuthn CTAP
  • 7.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ 7 • 登録 • 認証
  • 8.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ 8 • 登録 • 認証
  • 9.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 9 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫
  • 10.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 10 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 登録の開始をFIDOサーバーに通知 ① ② ①
  • 11.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 11 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ パラメータ群を 作成しRPの APPに送り返す ③ ④
  • 12.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 12 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 返却されたパラメータ群を整 形して、アテステーションを 作成するメソッド を実⾏ ⑤ ⑥
  • 13.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 13 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 本⼈性の検証を⾏う ⑦
  • 14.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 14 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 鍵ペアを⽣成し、アテス テーションを作成する ⑧
  • 15.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 15 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 公開鍵を含んだアテステーション をFIDOサーバーに送る ⑨
  • 16.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 16 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ アテステーションの検証を⾏ い、公開鍵を保存する ⑩
  • 17.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(登録) 17 認証器 RP FIDOサーバー 登録開始 チャレンジを 含むパラメータ群 アテステーション ユーザー 認証用 鍵ペア生成 登録 完了 FIDO クライアント ① ② ③ ⑤ ④ ⑥⑦ ⑧ ⑨ ⑩ ⑪⑫ 登録完了をユーザーに通知する ⑪ ⑫
  • 18.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ 18 • 登録 • 認証
  • 19.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 19 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫
  • 20.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 20 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ ① 認証の開始をFIDOサーバーに通知 ① ② ※サンプルの画像では「次へ」ボタンを押す前にIDを⼊れる必要がある
  • 21.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 21 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ パラメータ群を 作成しRPの APPに送り返す ③ ④
  • 22.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 22 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 返却されたパラメータ群を整形して、署名 データを作成するメソッド を実⾏ ⑤ ⑥
  • 23.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 23 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 本⼈性の検証を⾏う ⑦
  • 24.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 24 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 検証結果に対して秘密鍵で署名し、 署名データを作成する ⑧
  • 25.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 25 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 署名データをFIDOサーバー に送る ⑨
  • 26.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 26 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ 保存した公開鍵を使い署名 データを検証する ⑩
  • 27.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証流れ説明(認証) 27 認証器 RP FIDOサーバー 認証開始 チャレンジを 含むパラメータ群 署名データ ユーザー 認証結果を 秘密鍵で署名 FIDO クライアント ① ② ③ ⑤ ④ ⑥ ⑦ ⑧ ⑨ ⑪ 認証 完了 ⑩ ⑫ Cookieやtokenを発⾏し、認証完 了ユーザーに通知する or そのま まサービスにリダイレクトする ⑪ ⑫
  • 28.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること
  • 29.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 29 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
  • 30.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 30 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
  • 31.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 31 デバイスの紛失や破損、別端末への引き継ぎなどに備 えてAR対策はサービスを運営していく上でとても⼤事 になります。 紛失 破損FIDOの使えない デバイス
  • 32.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 32 Yahoo! JAPANではパスワードに依存せず、 様々なプラットフォームで使える本⼈確認⼿段 を提供しています。 パスワードに依存しないFIDO以外の認証⽅法 メール SMS 例
  • 33.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 33 https://fidoalliance.org/recommended-account-recovery-practices/
  • 34.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. アカウントリカバリー(AR) 34 導⼊先サービスのセキュリティとUXのバラ ンスにおいてアカウントリカバリーはとても ⼤事! Usability Security
  • 35.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 35 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
  • 36.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. エンタープライズとコンシューマー エンタープライズ(企業)導⼊とコンシューマー(⼀般消費者)導⼊では FIDO認証を導⼊する際にそれぞれ気にしないといけない点があります 36 認証器 プラットフォーム (OSやアプリやブラウザ) AR セキュリティとUX エンタープラ イズ • 特定の認証器を配 布しやすい • シス管の意向に よって認証器が制 限されやすい • 特定のプラットフォームの 指定がしやすい • 会社全体が古いプラット フォームの場合は部分導 入すら困難 • ヘルプ窓口など の対面対応がし やすい • セキュリティを上げやす いがUXが上がりにくい コンシュー マー • ユーザーにセキュリ ティーキーなどの高 価なキーを買っても らうことが困難 • 複数プラットフォーム対応 を常に考えないといけな い • 部分的な導入はしやすい • オンラインでの AR手段に依存し やすい(実店舗窓 口が充実してい る場合は別) • UXを上げやすいがセ キュリティが上がりにく い(特にARを考える と . . .) ※あくまでエンタープライズとコンシューマーを⽐べた場合の話です
  • 37.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証導⼊で気になること 37 • アカウントリカバリー • エンタープライズとコンシューマー • FIDO認証とID連携
  • 38.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証とID連携 38 & • FIDO認証とID連携とはとても相性が良い • 例:Yahoo! JAPANでもOpenID Connect を⽤いてYahoo! JAPAN以外の企業とID連携を⾏っており、FIDO2を導⼊する ことでサードパーティーにもFIDO認証を使うことが可能となっ ている
  • 39.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. FIDO認証とID連携 39 End User Federation RP IdP(Yahoo! JAPAN) Authorization Server Authentication ServerStart OpenID Connect Authorization Request(Redirect) Password login Authorization Code(Redirect) Token Request Access Token / Refresh Token / ID Token ID連携開始 Token発⾏完了
  • 40.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. 40 FIDO認証とID連携 End User Federation RP IdP(Yahoo! JAPAN) Authorization Server Authentication ServerStart OpenID Connect Authorization Request(Redirect) Password login / Consent Authorization Code(Redirect) Token Request Access Token / Refresh Token / ID Token ID連携開始 Token発⾏完了 Authentication ID Federation ID Federation
  • 41.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. 41 FIDO認証とID連携 End User Federation RP IdP(Yahoo! JAPAN) Authorization Server FIDO2 ServerStart OpenID Connect Authorization Request(Redirect) WebAuthn Authorization Code(Redirect) Token Request Access Token / Refresh Token / ID Token ID連携開始 Token発⾏完了 ID Federation ID Federation
  • 42.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. FIDOの最新状況
  • 43.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. 初のFIDOバイオメトリクス部品認定 43 Samsung Galaxyの指紋認証システムが初 のFIDOバイオメトリクス部品認定を取得 FIDOアライアンスが新たに策定したバイオ メトリクス部品認定プログラムにおいて、 Samsung Galaxy S10・S10+搭載の超音波 指紋センサーがFIDOバイオメトリクス部品 認定を取得 (2019年2月20日) https://prtimes.jp/main/html/rd/p/000000007.000037279.html
  • 44.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. Android 7+ がFIDO2認定取得 44 Android 7.0以降のAndroid OS端末 がFIDO2認定を正式に取得 Android OS端末がWindowsや Chrome OS、macOSデバイスから Googleアカウントにログインする際 Security Keyとして活用可能 https://fidoalliance.org/news-your-google-android-7-phone-is-now-a-fido2-security-key https://fidoalliance.org/android-now-fido2-certified-accelerating-global-migration-beyond-passwords/
  • 45.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. LINE Pay 45 LINEがiOS版(v1.4.0~)のLINE Payで FIDO2対応を開始 WebAuthnはなくwhitebox encryption搭載 して認証器はアプリ内に内製 https://twitter.com/nao_ichihara/status/1176333351428341760 https://www.slideshare.net/FIDOAlliance/a-first-step-to-a-world-without-passwords
  • 46.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. ゆうちょ銀⾏ 46 ゆうちょダイレクトへのログイン 時と送⾦の本⼈認証でFIDOが使 えるようになっている この対応でハードウェアトークン が不要となって利便性の向上を 図っている https://www.jp-bank.japanpost.jp/aboutus/press/2019/pdf/pr190425.pdf
  • 47.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved. Web Authntication Level2 47 Web Authentication Level2がEditorʼs Draftで議論がされ始 めた https://w3c.github.io/webauthn/
  • 48.
    Copyright (C) 2019Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2018 Yahoo Japan Corporation. All Rights Reserved. EOP