webauthn_studyに参加してきました。
タイトル | 発表者 |
---|---|
WebAuthN を入れるには何を考えるべきか | @ritou (mixi) |
WebAuthN を実際に入れてみてどうだったか | @kasecato (nulab) |
WebAuthN を入れるには何を考えるべきか
- @ritouさん(mixi)
リカバリーの話
- 無効化/再設定
- パスワード
- TOTP
- リカバリーコード
- Auhtenticator
- 別の認証方式or複数登録
パスワード認証におけるリカバリー
- 忘れた
- 別の認証方式 + 再設定
SMS通知におけるリカバリー
- 番号/アドレスが変わった
- 別の認証方式 + 無効化/再設定
FIDOにおけるリカバリー
- 紛失盗難
- 別の認証方式 or 複数登録可能にして無効化/再設定
- FIDOだからといってそんなに問題ではない
導入事例
2段階認証としての導入
導入時にどこに手を入れるか
- アカウント設定
- 追加認証を有効にする
- リカバリー設定
- 別の認証方式を登録
- 認証
- パスワード認証 + 追加認証を要求するように
- 複数ある場合はどの方式か切り替えられるように
- 再認証
- GitHubでは
パスワード確認
の場面でWebAuthnが利用可能に
- GitHubでは
検討事項
- リカバリーの認証方式でカスタマーサポートの負担が決まる
- 利用可能な環境の制限
- user-agentによる判別
- platform
- Attestation
- 追加認証要求のタイミング
- パスワード認証に成功したら
- パスワード認証の結果に関わらず
- パスワード認証前に
パスワードレス認証としての導入
- パスワードレスとは?
- パスワードを使わない
- 所持 or 生体 or 記憶
- FIDO UV相当
- 所持 + (記憶 or 生体)
- パスワードを使わない
- 新規登録
- リカバリーを考慮して効率的に2種類の認証方式を設定するには?
WebAuthN を実際に入れてみてどうだったか
- @kasecatoさん(nulab)
WebAuthN導入前の話
WebAuthN導入のモチベーション
WebAuthN導入中
認証フローの設計
- 2要素認証
- 利便性の改善にはつながらない
- 単要素パスワードレス認証
- 多要素を強制したいフローで困る
- 多要素パスワードレス認証 - 採用
- 利便性と安全性を両立
- ユーザネームレス認証
- windows10以外で普及したと思えなかった
- Email First Sign-in Flowを参考に実装
アカウントリカバリの設計
- 盗難紛失
- 従来のパスワード認証でログインし認証器の無効化
- パスワードを削除したユーザ
- リセットのEメールを送信
実装が困難だった点
- macのtouchID複数登録の後勝ち問題
- アカウント新規作成でパスワードレス
WebAuthN導入後
サポートへの問い合わせ
- 指紋が変わって生体認証使えなくなったらどうすればいいか
- PINで認証器解除して再登録をしてもらう
パスワード削除でモバイルから使えない
- パスワード削除したらパスワードでログインしてるものを全部サインアウト
- モバイルはFIDO対応してないからパスワード再発行しないといけない
Touch IDが使えなくなった
- 公開鍵クレデンシャル登録時のChromeのProfileに紐づく
使用可能な認証器がわからない
- いろんな認証器がある
- これ使えますか?と問い合わせがくる