2013年4月22日月曜日

多要素認証とか二要素認証とか二段階認証とか

多要素認証とか二要素認証とか二段階認証について少し調べてみた (以下、多要素認証に統一)。
↓色々所感

  • 名称はTwo-step verification (二段階認証)派が多い。Googleの影響?
  • 一度多要素認証成功した端末について、その後二段階目の認証をスキップすることができるようになっていることが多い(端末登録)。
  • Googleは当初、二段階目をスキップする手段を用意していなかったけど、ユーザに不評で後から端末登録の仕組みを入れたとか伝聞で聞いたことあるけど、Web上でその情報を見つけられなかった。
  • Appleはよくわからないけど端末登録はできなさげ? MacOSやiOSでアプリ入れるときも確か毎回パスワード入れさせるよね? 面倒にすればするほどユーザーは脆弱な運用するようになるんじゃないだろうか…
  • リスクベース認証も調べようと思ったけど、どのサービスもほとんど情報がない。Googleとかやってるけど、多要素認証を有効にして、登録されている端末でやってるときも、リスク大と見なされて二段階目の認証が走ることはあるのだろうか…
  • 米Yahoo!は公式情報じゃないけど、多要素認証を有効にした状態での二段階目の認証実施はリスクベースでやってるみたいで珍しいパターン。
  • まあ、とりあえずS/W OTPトークンでのTOTPで、端末登録があればトレンド的にはOKそう? 
  • S/W OTPトークンをインストールできない/したくない人向けにモバイル端末へのEメール/SMS/音声通話を使ったワンタイムパスワード通知も不可欠か…
  • 全てのユーザーが多要素認証を有効にしてくれることはあり得ないから、やっぱりリスクベース認証もがんばらないとだめ?
  • 既存のIDパスワード認証のあるWebサイトにリバースプロクシとかで多要素認証とかリスクベース認証だけを追加してくれるようなアプライアンスとかソフトウェアってあるのかな…
  • モバイル端末へワンタイムパスワードを送信するタイプもやっぱりTOTP使っているんだろうか。
  • Yahoo! JAPANだけEメールで通知するワンタイムパスワードは10分間有効としてるけど他社も30秒より長くしていることあるのだろうか。それとも他社はSMSや音声通知で遅延がないからやはり30秒なのだろうか。その場合、S/W OTPトークンのと同じシークレットが共用されているのだろうか (イラストとかを見ると同じ6桁の数字が表示されていたりするけどあくまで例かもしれないし)。
  • FIDO (Fast IDentity Online) Alliance も一応注目しておいた方がいい?
  • 銀行系は切りがないので見なかったことにした。
  • オンラインゲームとかでも使われてるんだっけ?見なかったことにするけど。
  • 各サービスのパスワード忘れとかS/W OTPインストール端末紛失時のリカバリ方法とかも調べてみたけど多種多様すぎるし疲れたのでやめた。
  • 脚注へのリンクも面倒なのでやめた…。なんか楽に作る方法ないだろうか…
などなど…
サービス名 認証名称 開始時期 二段階目認証方式 二段階目省略用端末登録
PayPal/eBay アカウント PayPal Security Key [PP1] ・2007.01.?? (H/W OTP) [PP2]
・2008.11.24 (SMS) [PP3]
・H/W OTPトークン…6-digit 30sec (Verisign) [PP1] [PP4]
・SMSでの通知…6-digit [PP1]
×?
LastPassアカウント Two-factor or multifactor authentication [LP1] ・2009.03.20? (YubiKey)
・2009.06.09 (Sesame)
・2009.12.02 (Grid)
・2011.01.20 (Fingerprint, Smart card)
・2011.06.21 (Windows Biometric Framework)
・2011.12.04 (Google Authenticator)
[LP2] [LP3] [LP4]
・Google Authenticator
・Grid
・Sesame
・YubiKey
・Fingerprint
・Smartcard
・Windows biometric framework
[LP1]
○ [LP5]
AWSアカウント
IAMユーザー
AWS Multi-Factor Authentication [AW1] ・2009.08.24 (H/W OTPサポート) [AW2]
・2011.11.02 (Virtual MFAサポート) [AW3]
・H/W OTPトークン…TOTP 6-digit 30sec [AW4]
・S/W OTPトークン…H/Wと同様?
× [AW5]
Googleアカウント
Google Appsアカウント
Two-step verification [GG1]
2段階認証プロセス [GG2]
・2010.09.20 (Google Appsアカウント) [GG3]
・2011.02.10 (Google アカウント) [GG4]
・SMS、音声通話でのコード通知
・S/W OTPトークン…TOTP 6digit 30sec [GG5]
○ [GG6]
Facebookアカウント Login approvals [FB1]
ログイン承認 [FB1]
・2011.04.19 [FB2] ・Facebookアプリ内蔵トークン…TOTP? 6digit 30sec [FB3]
・SMSでのコード通知
○ [FB1]
Yahoo! Account Second Sign-in Verification [YI1] ・2011.12.06 [YI2] ・秘密の質問
・Eメールへの確認コード [YI1] [YI3] [YI4]
×?
[YI5] [YI6]
Yahoo! JAPAN ID ワンタイムパスワード [YJ1] ・2012.08.20 (Eメール) [YJ2]
・2013.03.25 (S/W OTP) [YJ1]
・Eメールでの通知…10分間有効6桁のワンタイムパスワード [YJ1] [YJ3]
・S/W OTP…TOTP 6digit 30sec [YJ4] [YJ5]
○ [YJ6]
Dropboxアカウント Two-step verification [DB1]
2段階認証 [DB2]
・2012.08.27 [DB3] ・S/W OTP…TOTP 6-digit 30sec(?) [DB2]
・SMSでの通知…6-digit [DB2]
○ [DB2]
Apple ID Two-step verification [AP1] ・2013.03.21 [AP1] ・Find My iPhone notificationまたはSMSでの通知…4-digit verification code [AP1] ×?
Microsoftアカウント Two-step verification [MS1] ・2013.04.17 [MS1] ・SMS、音声通話でのコード通知? [MS1]
・S/W OTPトークン…TOTP 6digit 30sec? [MS2]
○ (*1)
Evernoteアカウント Two-factor authentication ? [EN1] ・2013年予定 [EN1]
[PP1] https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKey-outside
[PP2] https://www.paypal-media.com/history
[PP3] https://www.paypal-media.com/press-releases/20081124005438
[PP4] https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKeyFAQ-outside#whySecurityKey
[LP1] https://lastpass.com/support.php?cmd=showfaq&id=1696
[LP2] http://www.pcmag.com/article2/0,2817,2343562,00.asp
[LP3] https://lastpass.com/upgrade.php?fromwebsite=1&releasenotes=1
[LP4] https://lastpass.com/upgrade.php?older=1&releasenotes=1
[LP5] https://helpdesk.lastpass.com/account-settings/trusted-computers/
[AW1] http://aws.amazon.com/jp/mfa/
[AW2] http://phx.corporate-ir.net/phoenix.zhtml?c=176060&p=irol-newsArticle_Print&ID=1334509
[AW3] http://aws.amazon.com/jp/about-aws/whats-new/2011/11/02/Announcing-virtual-mfa-support/
[AW4] http://onlinenoram.gemalto.com/
[AW5] http://aws.amazon.com/jp/mfa/faqs/#If_I_enable_AWS_MFA_will_I_need_an
[GG1] http://support.google.com/accounts/bin/answer.py?hl=en&answer=180744&rd=1
[GG2] http://support.google.com/accounts/bin/answer.py?hl=jp&answer=180744&rd=1
[GG3] http://googleenterprise.blogspot.jp/2010/09/more-secure-cloud-for-millions-of.html
[GG4] http://googleblog.blogspot.jp/2011/02/advanced-sign-in-security-for-your.html
[GG5] https://code.google.com/p/google-authenticator/
[GG6] http://support.google.com/accounts/bin/answer.py?hl=ja&answer=1085463&topic=1099588&ctx=topic
[FB1] https://www.facebook.com/help/148233965247823
[FB2] http://blog.facebook.com/blog.php?post=10150153272607131
[FB3] https://www.facebook.com/help/270942386330392/
[YI1] http://help.yahoo.com/kb/index?locale=en_US&page=content&id=SLN6282&y=PROD_ACCT
[YI2] http://developer.yahoo.com/blogs/ydn/yahoo-introduces-stronger-user-authentication-second-sign-verification-52121.html
[YI3] 「秘密の質問への回答または代替メールアドレスへ送信された確認コードの入力のどちらかを実行時に選択」か、「代替メールアドレスへ送信された確認コードの入力」のどちらかを設定で選択可能
[YI4] いずれの設定にするにせよ、初期登録時に確認コード受け取りのためSMSが必要
[YI5] ただし[YI6]の記事によるとリスクベース認証で必要な場合のみ二段階目が実施されるらしい?
[YI6] http://www.ghacks.net/2011/12/09/yahoo-improves-account-security-with-second-sign-in-verification/
[YJ1] http://id.yahoo.co.jp/security/otp.html
[YJ2] http://pr.yahoo.co.jp/release/2012/0820a.html
[YJ3] http://www.yahoo-help.jp/app/answers/detail/a_id/41952/p/544
[YJ4] https://play.google.com/store/apps/details?id=jp.co.yahoo.android.yjotp&hl=ja
[YJ5] 上記ページではHOTPとなっているが時刻同期してるのでTOTPとした。
[YJ6] http://www.yahoo-help.jp/app/answers/detail/a_id/41956/p/544
[DB1] https://www.dropbox.com/help/363/en
[DB2] https://www.dropbox.com/help/363/ja
[DB3] https://blog.dropbox.com/2012/08/another-layer-of-security-for-your-dropbox-account/
[AP1] http://support.apple.com/kb/HT5570?viewlocale=en_US&locale=en_US
[MS1] http://blogs.technet.com/b/microsoft_blog/archive/2013/04/17/microsoft-account-gets-more-secure.aspx
[MS2] http://www.windowsphone.com/ja-jp/store/app/authenticator/e7994dbc-2336-4950-91ba-ca22d653759b?appid=e7994dbc-2336-4950-91ba-ca22d653759b
[EN1] http://www.informationweek.com/security/management/evernote-were-adding-two-factor-authenti/240150023