#idcon 15th で発表したスライドです

1. C向けサービスで2要素認証を
普及させるためにできること
@ritou
2013/2/1 ＃idcon 15th

2. 2 自己紹介
いとう りょう
OpenID Foundation Japan Evangelist
株式会社ミクシィ
Twitter : @ritou 秋田の猫
Blog : http://d.hatena.ne.jp/ritou/
#idcon 15th ~ YConnect & Future of Authentication ~

3. 3 去年話題になった認証周りのネタ
パスワード管理 : そのまま表示/送信/保存dis
ログイン画面のURL : HTTPSアタリマエ
2要素認証 : Gmail
#idcon 15th ~ YConnect & Future of Authentication ~

4. 4
現状と課題
#idcon 15th ~ YConnect & Future of Authentication ~

5. 5 C向けサービスにおける2要素認証の現状
金融系、ゲームなどでは以前から普及
ユーザー数の多いサービスも実装
実装方法 : ワンタイムパスワードが流行り
ID/PW認証 + αをオプションで提供
脆弱性や課題については黙認状態
#idcon 15th ~ YConnect & Future of Authentication ~

6. 6
ソフトウェア
トークン,
ハードウェア
OTP Mail/SMS
トークン
オンラインゲーム
ユーザー
乱数表
大手サービス
ネットバンキング
#idcon 15th ~ YConnect & Future of Authentication ~

7. 7 こんなつぶやきをよく見かける
「○○も2要素認証に対応してください」
#idcon 15th ~ YConnect & Future of Authentication ~

8. 8
ソフトウェア
トークン,
ハードウェア
OTP Mail/SMS
トークン
オンラインゲーム
ユーザー
？ ？
乱数表
大手サービス
ネットバンキング
現在未対応なサービス
#idcon 15th ~ YConnect & Future of Authentication ~

9. 9 普及への課題
ついてこれないユーザー
サービスごとの設定はめんどくさい
導入しにくいプロトコル
POP/IMAP/SMTP, XMPP, …
認証とリソースアクセスの強い結びつき
#idcon 15th ~ YConnect & Future of Authentication ~

10. 10
解決案
#idcon 15th ~ YConnect & Future of Authentication ~

11. 11
ソフトウェア
OpenID Connectで
トークン,
ハードウェア 大手サービスの
OTP Mail/SMS 認証結果を利用
トークン
オンラインゲーム
ユーザー
乱数表 現在未対応なサービス
大手サービス
ネットバンキング （認証プロバイダ） （認証結果を利用）
#idcon 15th ~ YConnect & Future of Authentication ~

12. 12 OpenID Connectを使おう
ついてこれないユーザー
サービスごとの設定はめんどくさい→ OPに集約
対応できないプロトコル
POP/IMAP/SMTP, XMPP, …
認証とリソースアクセスの強い結びつき
→ アクセストークンを利用して分離
#idcon 15th ~ YConnect & Future of Authentication ~

13. 13 OpenID Providerがやるべきこと
→「認証強度の見える化」
対応する認証強度を開示
認証したユーザーの認証強度を提供
求められる認証強度をRPに指定させる
#idcon 15th ~ YConnect & Future of Authentication ~

14. 14 Relying Partyがやるべきこと
自らのサービス・ユーザーアクションに求め
られる認証強度を意識する
適切なタイミング、強度で再認証を要求する
#idcon 15th ~ YConnect & Future of Authentication ~

15. 15
残る課題
#idcon 15th ~ YConnect & Future of Authentication ~

16. 16 残る課題
2要素認証を採用しないOPはオワコン？
1ユーザー、1OPの風潮
ID/PW + αでは組み合わせにくい？
#idcon 15th ~ YConnect & Future of Authentication ~

17. 17
ソフトウェア
トークン,
ハードウェア
OTP Mail/SMS
トークン
オンラインゲーム
ユーザー
乱数表 課金などを扱うRP
２要素認証
×
ネットバンキング 対応OP
２要素認証
非対応OP

18. 18 追加認証に特化した認証プロバイダ
RP側が既存OPとの組み合わせ
Trustが重要
B向けに実績のあるサービスの進出？
物理デバイス、生体認証などの可能性
#idcon 15th ~ YConnect & Future of Authentication ~

19. 19
ソフトウェア
トークン,
ハードウェア
OTP Mail/SMS
トークン
オンラインゲーム
ユーザー
乱数表 課金などを扱うRP
２要素認証
ネットバンキング 対応OP
ソフトウェア
トークン, 追加認証
＋ ２要素認証
OTP Mail/SMS 専用OP 非対応OP

20. 20
ソフトウェア
トークン,
ハードウェア
OTP Mail/SMS
トークン
オンラインゲーム
ユーザー
乱数表 課金などを扱うRP
＋
２要素認証
ネットバンキング 対応OP
ソフトウェア
トークン, 追加認証
OTP Mail/SMS 専用OP

21. 21 まとめ
最大の課題は “めんどくさい”.
OpenID Connectは重要である
追加認証に特化した認証プロバイダ
#idcon 15th ~ YConnect & Future of Authentication ~

22. 実際に追加認証に特化した
認証プロバイダを作ってみた

23. 23 SecondAuth
https://2ndauth.openidconnect.info
メールアドレスがあれば登録可能
OTP認証のみ実装
OpenID Connect OP
実装してみて思ったことをいくつか紹介したい
#idcon 15th ~ YConnect & Future of Authentication ~

24. 24 YConnect, Google, Facebookから
受け取った確認済みメールアドレスを利用
#idcon 15th ~ YConnect & Future of Authentication ~

25. 25 Google Authenticatorを使う
(Server側の処理)
ユーザー単位にSecret生成
設定用のQRコード生成
otpauth://totp/(メールアドレス)?
secret=(base32_encoded_otp_secret)
#idcon 15th ~ YConnect & Future of Authentication ~

26. 26 Google Authenticatorを使う
(ユーザー側の処理)
アプリをインストール
あとはQRコードを読み取るだけ
#idcon 15th ~ YConnect & Future of Authentication ~

27. 27 リモートログアウト
現在アクティブなセッションを一元管理
手元で別の端末をログアウト可能
Facebook、Googleが実装
#idcon 15th ~ YConnect & Future of Authentication ~

28. 28 OpenID Connect
Session Management
OPのログアウトをRPから検知するための仕様
AuthZ Responseにセッション識別子
iframe + postMessageを送り続ける
#idcon 15th ~ YConnect & Future of Authentication ~

29. 29 組み合わせてみる
状況：ある環境でOP/RP利用,ログアウト忘れ
• OP : ログイン • OP : ログイン
• RP : ログイン • RP : -
#idcon 15th ~ YConnect & Future of Authentication ~

30. 30 組み合わせるとこんなことができる
リモートでOPのセッションを落とす
• OP : ログアウト • OP : ログイン
• RP : ログイン • RP : -
#idcon 15th ~ YConnect & Future of Authentication ~

31. 31 組み合わせるとこんなことができる
RPが変更を検知してログアウト
• OP : ログアウト • OP : ログイン
• RP : ログアウト • RP : -
#idcon 15th ~ YConnect & Future of Authentication ~

32. 32 作ってみて思ったこと
確認済みメールアドレスは便利
Google Authenticatorは簡単に使える
OIDC Session Management+リモートログ
アウト機能の組み合わせはイケてる
#idcon 15th ~ YConnect & Future of Authentication ~

33. 33 もっと技術的な話をしたいあなたへ
#idcon mini のお知らせ
少人数、USTなし、トイレ休憩なし
アンカンファレンスもどき
技術屋が気になることをじっくりと話せる場
次回予定：未定
「#idcon miniも気になる」とつぶやいても
らえばモチベーション上がります
#idcon 15th ~ YConnect & Future of Authentication ~