だいぶ間が空いてしまいましたが、前回の続きです。

＜2018/9/12 WG＞

　...と言っても、だいぶ前の「2018/9/12」頃に開催したWGの話ですが、以下のような手順で、GoogleアカウントにFIDO2認証器による二要素認証（以降、2FAと略す）を追加できるのですが、


　開始早々に、「これ、やっぱり、コンシューマー系でやらないよねぇ？」という感じになってしまいました。

　FIDO2認証器、コンシューマー向けでは使用する動機が薄く、エンタープライズ向けでも「スマホ認証アプリ」（ワンタイム・パスワードやプッシュ通知）や、他の認証ソリューションが敵になると予測でき、「結構難しいね。」という感じです。

　しかし、エンタープライズで”強制"されれば効果を発揮するかもしれません。実際に、Googleの企業内では使用しているらしく、長いこと問題が起きていないようなので、これによるセキュリティ向上はホボ確実だと"は"思います。

＜2019/2/20 WG＞

　...と言う事で、上記から、また半年ぐらい経過してますが、2019/2/20、再び、WGを開催して、認証界隈のトレンド等の話をさせて頂きました。

認証界隈の基礎から最新動向までの、四方山話

＜FIDO2（WebAuthn）のユースケース＞

　その中で、そもそも、FIDO2（WebAuthn）のユースケースってどうなっているんだろうか？その辺りを、調べてみた結果を、この辺にサマりましたが、2FAとパスワード・レス認証で使用されており、基本的には、前者の2FAで利用されているケースが多いと思います（将来的には、パスワード・レス認証の利用が増えるとは予測されている）。



　しかし、利用した場合、FIDO2認証器を「ロスト」してしまった場合の、2FAの解除やアカウントの復旧など、課題も多い模様です。

＜スマホ認証アプリ（プッシュ通知）＞

　一方で、最近出て来た「スマホ認証アプリ」（プッシュ通知）の方が、2FAとしては、FIDO2より利便性が高いのでは？と言う感じがしています。

　Googleでは2FAに「スマホ認証アプリ」（プッシュ通知）を設定できます。また、それだけではなく、ログイン自体にも利用できるようにしてきていて、同期で使用しているアカウントはパスワード記憶しなくなった様なので、その場合、「スマホ認証アプリ」（プッシュ通知）を設定するのがイイかも知れないと思いました。


　...また、「スマホ認証アプリ」（プッシュ通知）でログインというコンテキストでは、最近、CIBAが盛り上がってる気がします。CIBAについては、ココで軽く触れかと思いますが、厳密に言えばCIBAはOpenID Connectの拡張仕様なので、ClientからAuthZ Server（Sts/Idp）と連携して使用することになります。こちらは来期に対応予定です。

＜フィッシングに対する対応とFIDO2＞

　しかし、「スマホ認証アプリ」（プッシュ通知）は、フィッシングに対する対応が出来ていないという話があります。これはログイン画面と「スマホ認証アプリ」（プッシュ通知）のリンクが出来ていないことに起因しているようで、コレを解決するために、今後、「スマホ認証アプリ」にFIDO2のメカニズムが活用されていく可能性があるようです。


　これには、プッシュ通知ではなく、Bluetooth系の技術が使われる可能性がある模様です（詳しくはコチラを参照）。なお、CIBAでは、現時点でBiding Messageと言う、単なる乱数みたいな文字列をユーザがチェックすることでフィッシングを防止する模様です。

---

　...と言う事で（、秋頃に対応と言ったのに、もう春になってしまいましたが）、ボチボチ、FIDO2（WebAuthn）対応を進めていく予定です。詳細はコチラに纏めていく予定です。

　使用するライブラリについては、前回も言いましたが、私は、.NETを使用するので、abergs/fido2-net-libを使用する予定ですが、Javaのwebauthn4jというライブラリは日本の方が書かれているようです。詳しくはコチラをご参照下さい。