#webauthn_studyに参加してきた

これは2019/10/28(月)に行われた#webauthn_studyに参加してきたメモと感想です。

イベントページ

web-study.connpass.com

内容(※敬称略)

WebAuthnの導入事例から見る定石と今後の課題 @ritou

内容：
事例から導入のポイントを整理し導入に向けた一歩を踏み出す

メモ：
・GoogleはAndroid等独自でやっている部分が多い
・Githubはパスワード認証との組み合わせで、間違っても単一要素では通さない
・アカウント設定や認証、再認証部分に手を入れる
・サービスによってアカウント設定のフローは異なるが、基本的には一緒
・(Githubでは)再認証のパスワード確認していた部分にWebAuthnが利用可能
・リカバリー用の認証方式は海外では最低でも２つは用意している
・カスタマーサポートの負担がリカバリー用の認証方式で決まる
・検討事項としては利用可能な環境の制限がある
・Githubとしてはパスワード入力可/メールが開けるかが1要素とみなすと考えられる
・パスワードレスとは何か
　→パスワードを使わない
　→プッシュはどうか
　→結局ゆるい部分に攻撃を受ける覚悟必要
・それがなかったからFIDOになる？
・MSのResidentKey
・ResidentKeyなしYahoo!など・リカバリー用に別の認証方式は必要
・新規登録フローいついてはまだ手本となるサービスはなさそう
・Yahoo!としてはWebAuthnはユーザ体験の向上を目的としたもの

自分が参照したリンクたち：

Webで指紋認証を行ってみよう【WebAuthnについてのまとめ】 - Qiita

WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 - エンジニアHub｜若手Webエンジニアのキャリアを考える！

2段階認証のリカバリーコードに関する情報 - Ubisoftカスタマーサービス

Yahoo! JAPANでの生体認証の取り組み（FIDO2サーバーの仕組みについて） - Yahoo! JAPAN Tech Blog

パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る: Tender Surrender

(仮) WebAuthN を実際に入れてみてどうだったか　@kasecato (nulab)

資料：
kasecato.github.io

内容：
自社製品にWebAuthNを導入する前と後

メモ：
・導入のモチベーションは？
　→社内製品をセキュリティキーや顔認証でログインしたい
・実装当時リリースしなかった理由として　→ブラウザのバージョンアップが入って仕様が変わった
　→今後もメンテナンスしていくのに対して不安があった
　→EdgeのWebAuthnAPIにPolyfulが必要だった
　→W3CWebAuthn仕様への不安
　→使い方が正しいかわからなかった
　→認証器の普及率への不安
・2019現在では
　→様々なブラウザに対応
　→FIDO2対応認証器、Android 指紋認証、TouchID、BioPassFido2、SoloKeys..
　→FIDO1キーもそれなりに
・ログインをどのように設計に落としたか？
　→2要素は真の利便性には繋がらない
　→多要素を強制するフローで困る
　→多要素パスワードレス認証は利便性と安全性を両立
・ユーザネームレス認証は最終的に求められているもの
・セキュリティデバイスに名称を変更した
　→生体認証やら二要素認証やらはユーザにあまり理解されない
・UXは大事。認証フローを考えるのもだけれどUXがダメだと全てダメになる
・パスワードリセットはやはりEメールになる
・Eメールが安全か？という話はあるが結果的にそうせざるを得ない状況
・WindowsHelloが理想
・TouchIDは概ね好評
・エラーハンドリングが難しかった
・指紋が変わって生体認証が使えなくなったらPINで認証器を解除する
・パスワードレスに設定したらモバイル機器に生体認証がなくて詰む
　→その場合はSMS等の認証方式は残しておくべきなのかな？
・テスト問題は課題。