idcon15レポート
2月1日に行われた #idcon #15に行ってきました。
ミッドタウンタワーの大きなY!セミナールームがいっぱいになるほどの参加者でした。
idconとしては過去最大?
「Andouroid Android OSのカスタマイズによるアプリ間統合認証の実現」
- ヤフー株式会社 安藤 義裕 氏
- 35歳、SI企業でシステム開発 → 2007/9からY! Japan ID
- Andouroid: Android OSとJavaのFrameworkおよび下のCのレイヤに手を入れて作ったカスタムAndroid
- 注: 個人としてやっているものでありY!がAndroidに〜という話ではありません
- デモ
- emulatorの中にAndouroid。起動に1分くらいかかる
- ポイント: Y!のアプリを2種類使う。一方でログインすると、もう一方ではログインする必要がない
- 最初にY!メールアプリを起動 → ログインしていないのでログイン画面が出る
- 次にY!ブラウザを起動。ブラウザからメールを開く → やっぱりログインしていない
- ここでログインしてY!メールを見てみる
- ここでY!ブラウザを起動
- さっきログインしていなかったY!メールを起動すると…… → ログイン済
- おまけ: ほぼすべてのアプリをY!版で置きかえてみた。検索もY!
- デモのポイント
- アプリ自体には手を加えていない
- しくみ
- ストレージの説明の前に…
- あんどうろいどではyahoo(UID/GID)を追加した
- 認証情報の共有
- データ共有の方法はいろいろある(Shared Preference, SQLiteなど)
- Shared ID: アプリ署名の証明書が同一であれば複数のアプリにも同じUIDを振ることができる
- なぜカスタマイズしたのか
- アプリ単体でデータを持つ or 広くどのアプリからでもアクセスできるデータにするか
- 今回の要望: Y!アプリに限って認証情報を共有したい
- → グループの追加のようなやり方がよかった
- データ共有の方法はいろいろある(Shared Preference, SQLiteなど)
- デバイス時代のID
- OpenID Phoneなんて良さげ
- Q&A
アプリ間のトークン共有は発行者の認証や不正な共有を考えるとOSのサポートが必要なのだろうと思いました。そのへん、OSを押さえていると強いですね。
(19:32)
「Yahoo! JAPANのOAuth/OpenIDに代わる新しい認証認可機能 〜YConnect〜」
- ヤフー株式会社 河内 俊介 氏
- こうち しゅんすけ
- ID決済本部 2008年入社 2011年〜認証/セキュリティー等ID関連
- YConnectとは
- OAuth2.0に準拠、OpenID Connectをサポート
- Y! J IDでログイン可能
- 一部属性情報の連携も可能
- OAuth 1.0と比べてRPの作り方がカンタン
- YConnect歴史
- 2011年末、設計開始
- 2012年9月中旬 → パートナー企業に提供
- 2012/11/17公開
- サポート範囲
- OAuth2.0: Authorization code, Implicit, resource owner password credential
- resource id credential: 社内のみ
- OpenID Connect: Basic Client, Implicit Client
- OAuth2.0: Authorization code, Implicit, resource owner password credential
- パートナー、社内アプリで導入
- Y!ショッピング、Y!バザールなど
- ユースケース
- Y! J IDでログイン → 認証機能を使用
- リソースの提供 → Y!ウォレットの導入 → 決済(ID連携と独立して可能)
- 属性情報の連携 → ユーザー登録時にプリセット。生年など
- 提携パートナーにはより詳細な属性
- Y!提供APIの活用
- 導入構成図の事例
- 裏話
- 機能拡張
- PPID
- OTP(one time password)
- シングルログアウト
- IDの質向上: 連携強化(自治体/金融をターゲットに)
- OpenID Connect → 爆速で追っていきます!
- Q&A
- Q: (asyoulike007) implicitはスマートフォンでwebだけ? → アプリも
- Q: 導入事例のなかでここが良かったは?
- id_tokenは特に便利という話は聞かないが…
- access_tokenによるなんちゃって認証だったのが、ちゃんと認証できるようになった
- 属性情報が信頼できるのはメリットとなっている
- Q: カスタムURLスキームで後勝ち/先勝ちの問題はどう考えているか
- Y!アプリのスキームでは外のアプリとカブらないようにしている → 外にもらさない
- バレちゃって真似されないということ? → Androidではユーザーが選択できる。真似される件は今後の課題
- 外部のアプリではカブってしまう場合がある → 懸念が残る
- Y!アプリのスキームでは外のアプリとカブらないようにしている → 外にもらさない
- Q: 提携パートナーに属性を多く提供というのはclient_idで区別? → そのとおり
実際に運用されているというYConnectだけに裏話が面白かったです。
(20:00)
「C向けサービスで2要素認証を普及させるためにできること」
- 株式会社ミクシィ 伊東 諒 氏
- 去年話題になったネタ
- パスワード管理
- ログイン画面のURL
- 2要素認証 ← 今日の話題
- C向けだとID+passwordからの脱却は難しい。2要素認証でがんばっている
- 現状と課題
- 金融系、ゲームなどでは以前から昔及
- ユーザー数の多いサービス、メールプロバイダ: パスワード使い回しが問題
- 実装方法: ワンタイムパスワード: メール/SMSで送信など
- ID/PW認証 + α
- ハードウエアトークン → コスト高; ソフトウエアトークン → 鍵; 時計がずれたら? など
- 脆弱性や課題については黙認状態
- 銀行の乱数表がごっそり抜かれる時代なのだが
- 2要素認証: ユーザーは各サービスごとに登録
- よく聞かれるつぶやき: 「○○も2要素認証対応してほしい」
- 普及への課題
- 解決案
- OpenID Providerは何をやるべき?
- RPがやるべきこと
- 自分達のサービスに必要な認証強度を意識する
- 適切なタイミング・強度で再認証を要求する
- 銀行の例: ID/PWで残高見れる; 送金には乱数表が必要
- 残る課題
- 追加認証に特化した認証プロバイダは面白いのではないか
- どうやってもうけるかはまだわからないけど
- RP側が既存OPとの組み合わせを使う → 柔軟な実装が可能
- trustが重要
- B向けに実績のあるサービスがC向けに出てきてくれるとうれしい
- 物理デバイス、生体認証などの可能性
- ID/PWの代替としては難しいが、オプションとしては使い途があるのでは?
- まとめ
- 普及のカギ: 「めんどくさい」
- OpenID Connectは重要(OPの集約など)
- 追加認証に特化した認証Pも面白い
- 作ってみた!
- id厨であれば年に1〜2個IdP作れるよね
- https://2ndauth.openidconnect.info
- メアドで登録、OTP認証のみ実装、OpenID Connect OP
- 作ってみてわかったこと
- #idcon miniやるよー
- 少人数、USTなし
- アンカンファレンスもどき
- 技術屋が気になることをじっくりと話せる場
追加認証プロバイダは面白そうですね。クレデンシャルで独自性も出せそうです
(20:25)
パネルディスカッション「スマデバ時代ぼくらは幾つパスワードを使うのか 」Ustなしの予定
- "SSL/PKIはなぜ危機に陥ったのか"
- "二要素認証やバイオメトリクスは流行るのか"
- "僕らは10年後いくつのパスワードを使い分けてるのか"
- "スマデバで普通に使えるアクセス管理へ向けた課題を展望する"
- モデレータ: ヤフー株式会社 セントラルサービスカンパニー 技術調査室 室長 楠 正憲 氏
- 米国・OpenID Foundation 理事長 崎村 夏彦 氏
- 独立行政法人 情報処理推進機構 神田 雅透 氏
- セコム株式会社 IS研究所 松本 泰 氏
- OpenID Foundation Japan 事務局長代行 高橋 伸和 氏
- 諸注意
- このパネルはustしてません
- ふつうのしゃべってることはつぶやいてもOK
- 「オフレコ」部分はブログに書いたりつぶやいたりしないでね
- 楠さん: パスワードっていつからあったのか
- オープンデータのアイディア募集 IDEABOX
- OpenIDの出現により、MS Passportが全部持っていく、ということにはならなかった
- とはいえ、いまでもいつまでもたくさんのパスワードを覚えていないといけない
- 10個以上パスワードを覚えられる人はいないだろうが、それでネット生活は心もとない
- 去年のIIWではFederated IDに対して批判的な議論もあった
- 心配: 「UX too hard」ID/PWだけでもこれだけ複雑なのにOTPとかみんな使えるのか
- PKI基盤が2011年くらいからキワドイ状況。守り続けていけるのか
- 神田さん: SSL/PKIはなぜ危機におちいったのか
- 「PKI Day 2012」から資料を取ってください
- ネットの信頼性ってどう担保されてるの
- 技術/制度・運用/実装/ユーザリテラシ ← この4つのどこでも狙われるよ
- ルートCAはPKIのTrust Anchor
- 悪い人が何をしたいか: ルートCAに保証された中間CAになりたい
- 公開鍵証明書が悪用されるのってどんな時?
- Diginotarのケース
- なぜ1か月も放置されたのか
- (オフレコにつき割愛)
- 楠: 20年も経ったら暗号なんて解けるよってわかっていたんじゃないの?
- 高橋さん: 黎明期、cyber trust japan立ち上げ → verisignフェロー
- (オフレコにつき割愛)
- 松本さん: idconは初めて。神田さんも。away感ある
- ここ2〜3年、認証局の証明書が狙われている。昔からあったんだろうけど、顕著化している
- trust anchorとして広く根づいているので、そこを取ればいろいろできるから
- いま一番あぶないのはコード署名
- ビジネスの話がわからないとわからない。証明局はもうかる商売じゃない。その中でweb for trust CAという「一見カッコイイ枠組」ができた。機能してるかというと……?
- 競合やstakeholderが多数いる中でやっていくので難しい
- (オフレコにつき割愛)
- 楠: デバイスのレイヤーが安全じゃないとダメ。もうひとつはwebが頼られてきた中で起こった事件ではないか。この先federationとかなるとwebがますます重要になるのだが
- 崎村さん: OAuth2ってsecurity propertyが全面的にSSLに頼っている。ここをちゃんとやってくれないと世界が崩壊する
- アプリレベルで暗号・署名という防波堤もあるが、やってくれる人はほとんどいない
- インフラとしてのPKIにはもっとがんばってもらいたい
- 人の話はすごく難しい。海外の電子政府でデンマークが注目されている
- デンマーク: ソフトウエア証明書を使っていたがやめた ← ユーザーPCがマルウエアだらけで、そこで署名されたものが信用できない
- 技術・運用・実装・人をバランスよくやるのは難しい
- 楠さん: web trustが主犯じゃね?の話
- イランの不正証明書がわかったのはGoogleが証明書を集めていたから。集中モデルだったから判明したことはアンビバレントである
- ユーザーを信じて何でもできる時代 → スマートデバイスでは証明書・コードサイニングによりユーザーがしたいことを保証する時代
- 集中と分散、経済的な要因が大きいと感じる
- 神田さん: 矛盾ある状況でより安全な世界を作るには?
- 高橋さん: リテラシーが事業者やユーザーにあって、みんなでPKIを使いましょうという夢があった → ムリゲー → だったらID/PW使い続けましょう
- 個人的にはID/PWはなくならないと思っている
- 限界は: ぼくは1password使っているが100個以上入っている。もうムリ。
- これを減らすためにはfederationしていかなきゃいけない
- 楠さん: 最後にみなさんからひと言ずついただきたい。100〜200個のパスワードをどう集約するかというとIdP, OPをどう集約するかという話になる。またcredentialとしてパスワードの代替となるものは何か
- 松本さん: 独占と分散という話ではエコシステムでtrustが形成されるのは重要。それが安全かというところに問題があった
- セキュアなストレージが必要。iPhoneやiPadには元々チップが入っている。それを活用して切りくずすことができそう
- 崎村さん: webではsecure storageをブラウザからJSで使えるようにしようという動きがある
- 神田さん: パスワードマネージャを頼ってはいるが、アプリの作りによって何が起こっているかは実はわからない
- 2048bitの証明書がいくつか破れている。素因数分解ができちゃった。乱数生成器の性能が悪かった。そういうことが起こっている
- アプリがやってくれないかなという話と、それがちゃんと動いていることの認証制度がほしいなあ
- 楠さん: 退出のルールというのは、退出させられて泣く人が出てくるということでもある
(21:30)
導入部楠先生の歴史のお話、毎度とても面白いです。そしてオフレコの部分の話題は本当に興味深く聞きました。
パスワードはなくならないですね…。一昔前はパスワードをコピペさせないのがセキュリティーだというときもあったと思いますが、今はパスワードをコピペできないと逆にセキュアなパスワードを使いにくいです(auto typeがありますが)。パスワードを入力させると、必ず「パスワードを忘れたときはこちら」も作らないといけないのが大変です…。
この後の懇親会にも参加させていただきました。抽選会では秋田の猫が1発目に来るとふんだのですが2発目でしたねー。惜しかった。
(記述が誤っている/発言意図と違うなどありましたらご指摘いただければ幸いです)