IETFもXMLで書いてるのにテキストだよねー。最近はみんなmarkdown+pandocだけど、などの話 #idcon
2016-11-01 19:25:41TKさん: Assuranceの訳語として「保証」はいいのか novさん: 文書によっては訳している。ぼくはそのままassuranceと書く。翻訳WGではそのへんのポリシーを定めていない kthrttyさん: 表記ゆれは最後に直したい #idcon
2016-11-01 19:26:48kthrttyさん: 本日のゴール: 63Bのサマリを把握しよう。Authenticatorタイプを具体的な身の回りのものと結びつけよう。AALの概要を知ろう。その他キーワード: パスワード定○変○、Bi○metrics、○ut-o○t-band #idcon
2016-11-01 19:30:33kthrttyさん: ガイドライン全体における63Bに位置づけ: 認証とライフサイクル管理。登録済みのアカウントを使って認証を行い、その結果の正しさを確認するプロセスについて記述。認証器タイプ(Authenticator Type)とAALの定義 #idcon
2016-11-01 19:32:01kthrttyさん: 用語について。ユーザーはライフサイクルで言い方が変わる: Applicant → Subscriber → Claimant #idcon
2016-11-01 19:32:50kthrttyさん: ユーザーはApplicantとしてやってきて、がCSPに登録するとSubscriberになる。Verifierに対して認証するときにClaimantという立場でAuthenticationを行う #idcon
2016-11-01 19:34:47kthrttyさん: VerifierからAssertionをRelying Partyに送ると、RP-Subscriber間でAuthenticated Sessionが成立する #idcon
2016-11-01 19:35:25kthrttyさん: Authenticator Types: 記憶、ルックアップ、経路外、single/multi factor OTP、single/multi factor crypto, ... #idcon
2016-11-01 19:36:21kthrttyさん: 記憶: パスワードとかPINとか。Look-up: 乱数表など、Out-of-Band: SMS、QRコード、電話など #idcon
2016-11-01 19:36:57kthrttyさん: SF OTP: 2要素目の入力が必要ないRSAトークンなど。MF OTP: ユーザーが何か入力しないとOTPが出てこない #idcon
2016-11-01 19:37:58kthrttyさん: SF cryptographic software: 端末毎のクライアント証明書(PW保護なし)、SF cryptographic device: 保護された暗号鍵を使うハードウェア。FIDO U2Fなど #idcon
2016-11-01 19:39:02kthrttyさん: MF crypto software/device: 多要素版。指紋を入力しないと使えないようなものなど #idcon
2016-11-01 19:39:39kthrttyさん: AALでのこれらタイプの要件。AAL1: 9タイプ全部OKなんでもよい。AAL2: 単独で多要素またはパスワード+2要素目、AAL3: 多要素+ハードウェア #idcon
2016-11-01 19:41:06kthrttyさん: AAL2では見ればわかるようなOTPだけではダメ。パスワード後に2要素目として使うのはOK #idcon
2016-11-01 19:42:04kthrttyさん: バイオメトリクスはパスワードを駆逐するか? 利便性向上になるが、2要素目と組み合わせることが必須。バイオメトリクスは非決定的なので、他の決定的なものが必要とのこと #idcon
2016-11-01 19:43:22kthrttyさん: パスワードの定期変更は「SHOULD NOT」。強制されるとユーザーは「弱いパスワード」を使うようになってしまう傾向がある #idcon
2016-11-01 19:44:04kthrttyさん: out-of-bandがdeprecatedの是非。PSTNを使っている場合、セカンダリチャネルは安全でない可能性があるとして非推奨。一方でPUSH通知は推奨。PSTN経由のSMSや発呼認証が非推奨 #idcon
2016-11-01 19:46:14kthrttyさん: NISTに書いてあるからSMS使ってきたのに、なんでいまさら禁止すんのよなどの議論はあった #idcon
2016-11-01 19:46:46えがわさん: バイオメトリクスは3つの分類のどれにも入らないのか? novさん: リモートのauthenticationの手段としては許されていない。ローカルのストレージやドアロックではOK。FIDOデバイスのアンロックならOK #idcon
2016-11-01 19:47:54えがわさん: 昔から覚えてるもの + それ以外の2要素目となっていた。2要素目がさらにPW+なにか、だと3要素になってしまう気がする。#idcon
2016-11-01 19:50:08kthrttyさん: 読んでる限りの印象としてはsomething you haveにyou areまたはyou knowを組み合わせているyou have複数でよいのかはよくわからない #idcon
2016-11-01 19:50:14novさん: いまのような話はNISTに言うといいかも。something you haveが2つでmulti factorになってるように見えるがよいか、と聞くといいかも #idcon
2016-11-01 19:51:18