Today’s Diff

  • 昨今のOktaアップデートでパスキーを抑止する機能アップデートが告知されていたのが最初にピンと来た個人的ニュースなのですが、以後パスキーというキーワードのニュースがちらほら出てくるようになってきたため、Oktaでも当然使えるんだよね?っていう思い込みで実機検証してみました。
  • iPhoneからの登録も、Androidからの登録も問題なく行えました。いつもあるあるなのが、iPhoneだとSafariしか動作対応していないみたいなことなんかも怪しんで、あえてiPhoneからChromeブラウザを使って認証してみましたが、問題なく使えました。登録や認証時にはBTの有効化が必要です。登録時のユーザー動線としては、カメラでQRを読む→BT接続→登録といった流れになります。BT事前接続設定などは不要でした。認証時も同様の動線をたどります。また、ラップトップ側で既にMFA登録済みの場合は別端末を選ぶことができず、指紋強制のような動線になっていました。
  • さて、パスキーという機能ソリューションは、パスワードレスの恩恵でセキュリティが向上するものとして期待されていますが、運用の利便性という観点ではどうなのか考えてみたいと思います。
  • 弊社環境はこれまでに、1要素目…パスワード、2要素目…MFA(6桁コードやOkta専用プッシュ通知、FIDOなど)を既にユーザーへ提供していました。管理側として、特にパスキー専用に追加設定をする必要はありません。FIDO2がパスキーだからです。
  • ユーザーはどうでしょうか。これまでFIDO2対応としてガイドしていたPCのWindows HelloやmacOSのTouch IDを使えていたものが、私物のスマホにMFAを移すことができるようになります。MFAの持ち出しが可能になったということです。ここで序文に登場していた機能抑止が効いてきます。パスキーを抑止することで、ログイン端末を限定するポリシーを強いている環境ニーズを満たすのと同時に、企業資産のMFAを企業資産内に留める事ができるということです。利便性という意味では、今まさにログインしようとしている端末自体から認証したほうが操作が楽だと思います。パスキーを許可することは、未知の端末(指紋未登録端末や私物端末)からのログインを許容するということになりますので。
  • 一方、スマホに依存したMFAを利用していたユーザーにとっては、紛失しやすい、機種変更しやすいリスクを回避する手段にもなり得ます。従来のMFAは、ロストしたときに取り返せるかどうかに大変なリスクを抱えていました。そのため個人情報にもなり得る電話番号を人質に渡したり、クラウドサービスに委ねたり、リカバリコードのテキスト保存先をさらに別のクラウドサービスへ暗号化して保存しそのパスワードの保存先は・・・といった闇の部分について、多く語られなかったと思います。パスキーの保存先は
    • 上記は誤りです。実地検証した結果、私のGoogleアカウントでログインしている2台のAndroidのうち、登録していないスマホでQRを読んでも認証が通りませんでした。2台目として試したAndroidがVer.12でアップデート打ち切りになっていたPixel3のせいかもしれません。
      • FIDO全然ワカラナイフェーズに。どうやらWebAuthn Specification Level 3で1つのFIDO認証済み端末をBT経由でシェアできる機能と、1つのFIDOクレデンシャルを複数端末に割り付ける機能が特徴があるようです。またAndroidとしての本格提供は今年後半だというブログ記事もあり、今の実装状態が未完成な気もしています。とにかく今後には期待できるということです。
  • 改めて、パスキーのあるコーポレートな世界線を模索してみたいと思います。ユーザーは従来の6桁コードが使えるMFA、IDaaS専用アプリからのプッシュ通知、端末の指紋に加えて私物スマホによる認証が使えるとします。一番ラクな方法は、やはり端末の指紋に変わりはないですね。わざわざ目の前の端末ではない端末を探してきて、手に持って、カメラを起動して、照準を合わせてシュートするような行為をされたい方はいません。端末と認証素子は分離していたほうがセキュア、みたいなお話もありますが、仮に遠隔地からパスキー突破を目論むジェームズ・ボンドという男がいたとして、その方はまずパスキーを登録している胴元のGoogleやApple等のアカウントを奪取した上で、ターゲットの指(物理)も用意しておく必要があります。ターゲットの正規ログインを待ってからその端末自体やセッションを奪った方が楽だと思います。端末をいざ紛失してしまった場合でも、管理者の手でMFAリセットができるため端末自体を失うMFAとしてのリスクはありません。一方で、パスキーを束ねているGoogleまたはAppleIDのクレデンシャルを本人が紛失してしまった場合、管理者が手を出せないので本人たちで取り戻してもらう必要があります。これは業務遅延に繋がり、リスクです。
  • まとめとして、個人利用ではパスキーの利便性が湧いてきますが、コーポレート運用における最強手段はやはり”オンデバイスの指紋”だと思っています。
Made with MuuMuu Sites