9-B-7 結局どれが一番なの? あなたのユーザーに最適な二要素認証の方法を考える

6K Views

February 09, 23

スライド概要

2023年2月9-10日に開催されたDeveloper Summit 2023で登壇した際に使用したセッション資料です。

Twilio Verifyについては下記のページをご覧ください。
https://www.twilio.com/ja/verify

profile-image

Developer Advocate for Auth0 by Okta

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

9-B-7 結局どれが一番なの? あなたのユーザーに最適な 二要素認証の方法を考える 池原大然 ([email protected]) Developer Evangelist ©2023 TWILIO INC. ALL RIGHTS RESERVED

2.

Legal disclaimer This presentation and the accompanying oral presentation contain forward-looking statements. All statements other than statements of historical fact contained in this presentation, including statements as to future results of operations and financial position, planned products and services, business strategy and plans, objectives of management for future operations of Twilio Inc. and its subsidiaries (“Twilio” or the “Company”), market size and growth opportunities, competitive position and technological and market trends, are forward-looking statements. In some cases, you can identify forward-looking statements by terms such as “expect,” “plan,” “anticipate,” “intend,” “target,” “project,” “predict,” “potential,” “explore” or “continue” or the negative of these terms or other similar words. Twilio has based these forward-looking statements largely on its current expectations and assumptions and on information available as of the date of this presentation. The Company assumes no obligation to update any forward-looking statements after the date of this presentation, except as required by law. The forward-looking statements contained in this presentation and the accompanying oral presentation are subject to known and unknown risks, uncertainties, assumptions and other factors that may cause actual results or outcomes to be materially different from any future results or outcomes expressed or implied by the forward-looking statements. These risks, uncertainties, assumptions and other factors include, but are not limited to, those related to the Company’s business and financial performance, the Company’s ability to attract and retain customers, the Company’s ability to develop new products and services and enhance existing products and services, the Company’s ability to respond rapidly to emerging technology trends and adapt to adverse changes in general economic or market conditions, the Company’s ability to comply with modified or new industry standards, laws and regulations applying to its business, the Company’s ability to execute on its business strategy, the Company’s ability to compete effectively and the Company’s ability to manage growth. Moreover, the Company operates in a very competitive and rapidly changing environment, and new risks may emerge from time to time. It is not possible for the Company to predict all risks, nor can the Company assess the impact of all factors on its business or the extent to which any factor, or combination of factors, may cause actual results or outcomes to differ materially from those contained in any forward-looking statements the Company may make. This presentation also contains estimates and other statistical data made by independent parties and by the Company relating to market size and growth and other industry data. These data involve a number of assumptions and limitations, and you are cautioned not to give undue weight to such estimates. The Company has not independently verified the statistical and other industry data generated by independent parties and contained in this presentation and, accordingly, it cannot guarantee their accuracy or completeness. In addition, projections, assumptions and estimates of its future performance and the future performance of the markets in which the Company competes are necessarily subject to a high degree of uncertainty and risk due to a variety of factors. These and other factors could cause results or outcomes to differ materially from those expressed in the estimates made by the independent parties and by Twilio. This presentation also includes certain non-GAAP financial measures. These non-GAAP financial measures are in addition to, and not as a substitute for or superior to measures of financial performance prepared in accordance with GAAP. There are a number of limitations related to the use of these non-GAAP financial measures versus their nearest GAAP equivalents. For example, other companies may calculate non-GAAP financial measures differently or may use other measures to evaluate their performance, all of which could reduce the usefulness of the Company’s non-GAAP financial measures as tools for comparison. The Company has provided a reconciliation of those measures to the most directly comparable GAAP measures, which is available in the appendix. For further information with respect to Twilio, we refer you to our most recent quarterly report on Form 10-Q filed with the SEC. In addition, we are subject to the information and reporting requirements of the Securities Exchange Act of 1934 and, accordingly, file periodic reports, current reports, proxy statements and other information with the SEC. The final prospectus and these periodic reports, current reports, proxy statements and other information are available for review at the SEC’s website at http://www.sec.gov.

3.

自己紹介 池原 大然 Twilio デベロッパーエバンジェリスト [email protected] Twitter: @neri78 DQW, FF14プレイヤー ©2023 TWILIO INC. ALL RIGHTS RESERVED

5.

Twilioが提供する顧客エンゲージメントプラットフォーム ソリューション プラットフォーム 管理 & ガバナンス Flex Marketing Campaigns Frontline コンタクトセンター Eメール キャンペーン フィールドサービス 開発者向け ツール SDK サービス (ビルディング・ブロック) 洞察・知見 データ チャネル API CLI Trsuted ローコード & Activation ノーコード サービス AI/ML 復元力 Debugger アクセス コア・インフラストラクチャ 制御 各種リソースや Super Network CDP 通信 インフラ 顧客データ インフラ プログラム ©2023 TWILIO INC. ALL RIGHTS RESERVED

6.

サーバーの死活監視の一部として サーバーの死活監視(午前2時の電話システム) ©2023 TWILIO INC. ALL RIGHTS RESERVED

7.

自動音声応答(IVR)として 「再配達の受付は 1を、担当者と話す 場合は2を押して ください。」 ©2023 TWILIO INC. ALL RIGHTS RESERVED

8.

サインイン時の認証インフラとして 電話・SMSで 認証コードを送信 ©2023 TWILIO INC. ALL RIGHTS RESERVED

9.

ユーザーの認証 ©2023 TWILIO INC. ALL RIGHTS RESERVED

10.

IDとパスワードによる認証 認証 ID/パスワードの 入力 ©2023 TWILIO INC. ALL RIGHTS RESERVED

11.

Q ©2023 TWILIO INC. ALL RIGHTS RESERVED

12.

IDとパスワードを いくつ保有、あるいは管 理していますか? ©2023 TWILIO INC. ALL RIGHTS RESERVED

13.

たくさんすぎておぼえられない! パスワードマネージャーがないと詰んでし まう... 面倒くさいと思って使い回すと...? ©2023 TWILIO INC. ALL RIGHTS RESERVED

15.

IDとパスワードは流出する! https://haveibeenpwned.com/ ©2023 TWILIO INC. ALL RIGHTS RESERVED

16.

NG OK https://haveibeenpwned.com/ ©2023 TWILIO INC. ALL RIGHTS RESERVED

17.

「知る要素」 「持つ要素」 「備える要素」

18.

例: ワンタイムパスワードをスマートフォンに送信 ワンタイムパスワード 送信 ID/パスワードの 入力と認証 入力 登録した電話番号に 紐づく端末 コードの認証 ©2023 TWILIO INC. ALL RIGHTS RESERVED

19.

セキュリティの強度 パスワード 低 秘密の 質問 SMS, 音声, Email ワンタイム パスコード (OTP) 認証アプリ タイムベース・ワ ンタイム パスコード (TOTP) 物理 トークン ワンタイムパス コード (OTP) アプリの プッシュ 通知 FIDO2.0 WebAuthn 高 ©2023 TWILIO INC. ALL RIGHTS RESERVED

20.

二要素認証の各チャネルと その特徴をおさえる ©2023 TWILIO INC. ALL RIGHTS RESERVED

21.

「電話番号」を利用したワンタイムパスワードの送信 ワンタイムパスワード 送信 ID/パスワードの 入力と認証 SMS 音声通話 (Voice) 入力 コードの認証 登録した電話番号に 紐づく端末 ©2023 TWILIO INC. ALL RIGHTS RESERVED

22.

「電話番号」を利用した ワンタイムパスワードの通知 多くのユーザーが電話番号を保持している (日本におけるスマートフォンの世帯保有率は88%*) 追加のソフトウェアを必要としない 電話番号は乗っ取りがむずかしい (SIMハイジャックという手段は存在する) SMSフィッシングの脅威が存在する * スマートフォンの世帯保有率の推移 : https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf104000.html#n1402020 ©2023 TWILIO INC. ALL RIGHTS RESERVED

23.

Emailアドレスを使ったワンタイムパスワードの送信 ワンタイムパスワード 送信 入力 Email ID/パスワードの 入力と認証 コードの認証 ©2023 TWILIO INC. ALL RIGHTS RESERVED

24.

「Email」を利用した ワンタイムパスワードの通知 ユーザー登録のプロセスにおいて Emailの登録を行うことが多い 電話番号など、追加の情報を 提供せずとも良い Emailアカウントのセキュリティは 誰が担保する? ©2023 TWILIO INC. ALL RIGHTS RESERVED

25.

Time-Based One-Time Password (TOTP) 入力 TOTP ID/パスワードの 入力と認証 コードの認証 ©2023 TWILIO INC. ALL RIGHTS RESERVED

26.

認証アプリを用いたTOTP (実装側)導入・運用コストの抑制ができる 標準規格に準拠した実装であれば、 ユーザー側で認証アプリを選択できる 認証デバイスが ネットワークの状態に左右されない ソフトウェアの導入と初期設定について 手間がかかる(ITリテラシーの問題) アプリが消えてしまうと...? ©2023 TWILIO INC. ALL RIGHTS RESERVED

27.

ハードウェアトークンを用いたTOTP 生体認証にくらべて 導入障壁が低い(だった) 認証デバイスが ネットワークの状態に左右されない 導入コストはそれなりにかかる デバイスそのものを管理しなければならない 紛失してしまうと...? ©2023 TWILIO INC. ALL RIGHTS RESERVED

28.

アプリ通知(プッシュ通知) 承認 Push 通知 ID/パスワードの 入力と認証 ©2023 TWILIO INC. ALL RIGHTS RESERVED

29.

プッシュ通知を用いた認証 ユーザーが承認・拒否をしやすい (コードを入力する必要がない) SMS/音声認証にくらべて運用コストが低い 初回のアカウント作成では機能しない (最初のデバイス認証には使用できない) ©2023 TWILIO INC. ALL RIGHTS RESERVED

30.

いれなきゃ いけないの? 「わずらわしい」

31.

「わずらわしい」をどう超えるか? ● 導入しないと機能そのもののが使えない、あるいは制限がかかる ⇨ 機能を制限することで入れざるを得ない状態にする ● 導入することでユーザーにメリットがある(推奨する) ⇨ いれるとイイことがある! ● (理想)無意識に利用している / 利用のハードルが低い ⇨ 意識させないようにするか、そもそも別の方式を選択する ©2023 TWILIO INC. ALL RIGHTS RESERVED

32.

導入することでイイことがある ● ゲームやソーシャルサイトで使われている ○ ファイナルファンタジーXIVにおけるワンタイムパスワードの導入特典 ■ 通常はゲーム内通貨が必要となるテレポ(場所移動)が一箇所無料に ○ Twitchにおける2FAの設定 ■ チャットで利用できる限定のスタンプを提供 ○ Epic Gamesアカウントにおける2FAの設定 ■ エモート(表現)のアンロックとアイテムの付与 出典: 「ワンタイムパスワード」のトークンに、各種認証アプリを利用可能に! https://jp.finalfantasyxiv.com/lodestone/topics/detail/168a78f2b094f6265d2a392a2aec32a3a0794de4 出典: 2段階認証(2FA)の設定 https://help.twitch.tv/s/article/two-factor-authentication?language=ja 出典: Epic Gamesアカウントで2段階認証(2FA)を有効化するとどのような特典がもらえますか? https://www.epicgames.com/help/ja/epic-games-c5719341124379/epic-c5719350930075/epic-games2-2fa-a5720233583259 ©2023 TWILIO INC. ALL RIGHTS RESERVED

33.

別の方式 - WebAuthn / Passkeysがもたらすパスワードレスな世界 https://webauthn.io/

34.

サイレントネットワーク認証 - キャリアネットワークを利用した認証 出典: サイレントネットワーク認証とは〜 Twilio Verifyの新機能 https://www.twilio.com/ja/blog/silent-network-authentication-sna-overview-jp ©2023 TWILIO INC. ALL RIGHTS RESERVED

35.

まとめ ©2023 TWILIO INC. ALL RIGHTS RESERVED

36.

まとめ 二要素認証の特徴を理解し 導入を検討する ユーザーに登録を促す しくみを考えてみる 将来の認証について 考えてみる セッションは終了していますが、 9-C-1おすすめ! ©2023 TWILIO INC. ALL RIGHTS RESERVED

37.

Twilio Verifyが提供する多彩な認証チャンネル SMS Email Voice Push Device 認証 認証 将来的には.. Silent Network 認証 WhatsApp ユーザー登録 & ログイン用途 WebAuthn (FIDO2) TOTP ログイン用途 認証済みのテンプレート 詐欺的な SMSトラフィックの検知 レート制限 認証番号、ショートコード、英数 字送信者ID ルーティングの最適化、 冗長化、フェールオーバー ローカリゼーション モニタリング レポーティング グローバル カスタマーサポート https://www.twilio.com/ja/verify ©2023 TWILIO INC. ALL RIGHTS RESERVED

38.

複数の認証チャネルを一つのサービスで // 指定の連絡先、チャネルにワンタイムコードを送信 // ワンタイムコードの認証 let verificationRequest = await let verificationResult = await twilio.verify.v2.services(TWILIO_VERIFICATION_SID) twilio.verify.v2.services(TWILIO_VERIFICATION_SID) .verifications .verificationChecks .create({ .create({ to: contact_to, // 認証する電話番号やEmail code: code, channel: channel // 認証チャネル(sms, call, email) verificationSid: sid }); }); // TOTPの認証 let verificationResult = await twilio.verify.v2.services(TWILIO_VERIFICATION_SID) .entities(TestUser.entitiy_sid) .challenges.create({ authPayload: code, factorSid: TestUser.factor_sid }); ©2023 TWILIO INC. ALL RIGHTS RESERVED

39.

「Twilio Verify」ウェビナー・ハンズオン開催 https://www.twilio.com/ja/events ©2023 TWILIO INC. ALL RIGHTS RESERVED

40.

Thank You ©2023 TWILIO INC. ALL RIGHTS RESERVED