プライベートCA」カテゴリーアーカイブ

同期パスキーの弱点を克服!SSLクライアント認証でアクセス端末を限定するパスキー認証Webの運用構成

パスキー認証

公開鍵認証方式を利用するパスキー認証では、秘密鍵の保存先により2種類のパスキーをサポートしています。

  1. 同期パスキー( Synced Passkeys )
  2. デバイスバウンドパスキー( Device Bound Passkeys )

スマートフォンなどは同期パスキーに対応しています。USBタイプの認証器はデバイスバウンド・パスキーのみの対応となります。

 

 

同期パスキーとデバイスバウンドパスキーの相違点

項目 同期パスキー
デバイスバウンドパスキー
秘密鍵の保存先 クラウドサービスを利用 特定のデバイス内に保存
利用方法 複数のデバイスで利用可能
1つのデバイスのみ利用可能
メリット 紛失・故障時の復旧が容易 より高い安全性
デメリット クラウドサービスが停止の場合
利用が出来ない
複数のデバイス間で利用できない

 

 

WebサイトのPasskey認証

Passkey認証は、スマートフォンの生体認証だけでなく、セキュリティキーも利用可能な認証方式です。この機能を活かし、指紋認証、顔認証、虹彩認証などの生体認証に加え、USBやNFC型のセキュリティキーを用いた認証もWebサイトの認証と連携することができます。

スマートフォン以外にも、パソコンやタブレット端末でもセキュリティキーによる認証やBluetoothなどによるクロスデバイス認証による認証連携が可能です。 普段利用しているスマートフォンの生体認証機能やセキュリティキーをそのまま、Webサイトの認証に利用することができます。生体認証・セキュリティキー認証を利用することで、パスワード管理の手間を省き、不正ログインのリスクを低減をさせるパスワードレス認証での運用が可能です。

パスキーの端末からは、以下の2通りの方式での利用ができます。

  1. パスキー認証  Web
  2. クロスデバイス認証  Web

 

 

OTP認証による対応

すべての利用者がパスキー認証の端末でアクセスできない場合があります。その場合には、ワンタイムパスワード認証に対応することで「より多くのユーザー端末をカバーリング」します。

  1. ワンタイムパスワード認証  Web

 

 

パスキーおよびOTP構成

 

 

 

 

 

パスキー認証とワンタイムパスワード認証へ対応時の構成

 

パスキー認証の強化や利用端末の限定

パスキーは優れた認証方式ですが、更にWebサイトの認証の強度を高める方法としてはSSLクライアント認証を併用することで強化を図ります。

同期パスキー(Synced Passkeys)では異なる端末間で秘密鍵の利用が可能となります。利用端末を限定させる場合、SSLクライアント認証を併用することで「会社支給のパスキー端末からのみWebへアクセス許可」 させる運用にします。

高いセキュリティが求められる金融機関、医療機関、官公庁などで有効な手法です。

  1. パスキー認証+SSLクライアント認証(利用端末の限定
  2. OTP認証+SSLクライアント認証(利用端末の限定

 

 

 

パスキー認証のアクセスパターン

Passkey認証の機能を持つスマフォ端末で Web サイトへアクセス

パスキー認証 = ① Passkey認証端末 + ② ユーザー

 

USBセキュリティキーのPC端末で Web サイトへアクセス

デバイスバウンド・パスキー認証 = ① PC端末  +  ②USB認証器  +  ③ ユーザー

 

USB認証器の例

 

Passkey認証のないPC端末で Web サイトへアクセス

クロスデバイス認証 = ① PC端末 + ②Passkey認証端末 + ③ ユーザー

 

 

クロスデバイス認証

クロスデバイス認証とは、パスキー認証機能を持たないPCなどの端末から、スマートフォンのパスキー認証を利用して、ターゲットのWebへ認証連携でアクセスさせる認証方法です。

パスキー認証 クロスデバイス認証 クロスデバイス認証

 

ペアリング

クロスデバイス認証に際して、事前にPC端末とパスキー対応のiPhone / iPad / Android 端末をBluetoothでペアリングを行います

 

 

 

 

 

* PC本体にBluetooth機能が無い場合には、USB接続のBluetoothを利用します

 

 

Bluetooth を有効( iPhone / Android / デスクトップPC / ノートPC )

  • iPhoneとノートPCをペアリング( ノートPC内蔵のBluetoothを利用 )
  • iPhoneとデスクトップPCをペアリング( Bluetooth対応のUSBアダプタを利用 )

 

 

 

 

 

 

 

 

Bluetooth通信のクロスデバイス認証のステップ

  1. PC端末のブラウザでパスキー認証のターゲットのWebサイトへ
  2. PC端末のブラウザにQRコードを表示
  3. QRコードをぺアリングのスマートフォンでスキャン
  4. ぺアリングのスマートフォンでパスキー認証
  5. Bluetooth通信によりスマートフォンとPC間で認証連携
  6. PC端末のブラウザでターゲットの Webサイトへログイン

 

 

 

 

 

 

OTP認証の手順

パスキー認証やクロスデバイス認証を利用できないユーザーや端末では、OTP認証で対応します。

 

 

 

 

ソフトウエアトークン

OTP用のソフトアトークンとしては

  • Google Authenticator
  • Microsoft Authenticator
  • WinAuth
  • IIJ SmartKey など

 

OTPの登録

  • ソフトウエアトークンからユーザーの「QRコード」をスキャン
  • カメラのない端末では「文字例コード」をソフトウエアトークンに登録

 

 

 

 

 

 

 

OTP認証

  1. Web へアクセス
  2. ワンタイムパスワードを入力
  3. Web へログイン

 

 

 

 

 

 

パスキー認証 & OTP認証のWeb

 「Powered BLUE」アプライアンスを利用することにより、自社管理で簡単に「パスキー認証およびOTP認証に対応のWebサイトを構築&運用」することが出来ます。

 

 

 

 

 

 

 

 

 

Powered BLUEの主な機能

  • Passkey & OTP認証対応 Webサイト 構築 および 運用機能
  • オールインワン運用に対応のアプライアンス

 

 

パスキー&OTP認証時の機器構成

サーバー側

  • Powered BLUE アプライアンス (Passkey / OTP認証 のWebを運用)

  Passkey利用時に Web サイト側に生体情報が送信&保存されることはありません

 

ユーザー側

  • スマートフォンやPC端末
  • ブラウザ( プラグイン不要 )
  • ソフトウエアトークン(OTP認証を利用時)

 

 

 

 

Powered BLUE アプライアンスの構成

  • OS  RedHat  / RockyLinux  / AlmaLinux  対応
  • Web / Mail / DNS 機能

 

 

 

 

高度な運用

Private-CA およびPasskeyやOTP認証Webをオールインワン(1台)で運用

SSLクライアント証明書のインストールされている端末のみアクセス許可

  • パスキー認証+SSLクライアント認証(利用端末の限定
  • OTP認証+SSLクライアント認証(利用端末の限定
  • Private-CAを運用(SSLクライアント証明書の発行・失効・管理)

 

 

 

 

 

 

 

 

 

 

冗長化や負荷分散

  • HA構成での運用

 

 

 

お問合せ