MFA(2段階認証)でセキュリティ強化~Authyの設定
-
Upload
yuki-fujino-oita-univ -
Category
Technology
-
view
367 -
download
3
description
Transcript of MFA(2段階認証)でセキュリティ強化~Authyの設定
JAWS-Oita月例会
MFA(2段階認証)でセキュリティ強化~Authyの設定
JAWS-Oita 藤野幸嗣
2014/9/29 1
JAWS-Oita月例会
ネット上にPDF置いてます。
「fujino.com」
で検索かけてください。
2014/9/29 2
JAWS-Oita月例会
はじめに謝辞■ この資料は以下の2つの記事を参考にさせていただきました。 「AWSアカウント作ったらこれだけはやっとけ!IAMユーザーとAuthyを使ったMFAで2段階認証」 「Authy: 2段階認証のコードをまとめて管理! 紛失時の復元・データ同期もできる。」
2014/9/29 3
JAWS-Oita月例会
MFA~2段階認証とは?■ Multi Factor Authenticationに対応したデバイスを使う。
■ ログインの際にIDとパスワードだけではなくさらにパスワードが必須に。
■ IDとパスワードのセット+「ワンタイムパスワード」を使ってセキュリティレベルを上げること。
■ パスワードの漏洩に対する唯一の対策。2014/9/29 4
JAWS-Oita月例会
2段階認証の認知度は低い
2014/9/29 5
JAWS-Oita月例会
2段階認証のバチモン■ たんにパスワードを2重にするだけのものまで「2段階認証」と呼んでいることがある。 ※JALマイレージで利用者の誕生日を入れさせるなど。 →セキュリティの強化になっているか疑問。2014/9/29 6
JAWS-Oita月例会
ワンタイムパスワードの仕組■ 対応したID毎にランダムに数字の列を発行するサーバーを設置する。 →この数列は一定時間(30秒が多い)たてば無効になる。 ワンタイム(一度限りの)パスワード 表示させるための機器→MFAデバイス ハードとアプリ(バーチャルMFA)があります。2014/9/29 7
JAWS-Oita月例会
ハードウェア MFA デバイス
2014/9/29 8
Compliant to OATH open standard (time based - 6 digits)
AmazonUSAで販売
12.99$
19.99$
JAWS-Oita月例会
ワンタイムパスワードの受信■ MFA(専用トークン)で受信 ■ 電話番号を登録してSMSで受信。 ■ モバイル公式アプリで対応 →Facebookなど。 ■ 認証専用アプリを使って受信 「Google Authenticator」 「Authy」など。 2014/9/29 9
JAWS-Oita月例会
2段階認証アプリ■ Android Google Authenticator AWS Vitual MFA →日本だと使えない? Authy ■ iPhone Google Authenticator HDE OTP Generator Authy2014/9/29 10
JAWS-Oita月例会
Googleの2段階認証■ 手軽に導入できるけれど、設定にはそれなりの知識が必要になります。
■ モバイルで2段階認証に対応していないアプリから各種のGoogleサービスを使おうとすると、専用のパスワードが必要になります。
■ →Googleアカウントの設定 →バックアップコード2014/9/29 11
JAWS-Oita月例会
Googleアカウントの確認
2014/9/29 12
JAWS-Oita月例会
Googleアカウントの設定
2014/9/29 13
JAWS-Oita月例会
GoogleAuthenticator■ 手軽に導入できますが、設定が出来る端末が一台のみ。
■ 紛失や再セットアップの際のリカバリーがかなり面倒。
■ バックアップも面倒。
2014/9/29 14
JAWS-Oita月例会
Google~2段階認証の設定
2014/9/29 15
JAWS-Oita月例会
Authyについて■ 2段階認証専用のアプリ ■ iOS用、Android用、Chromeプラグインがあります。
2014/9/29 16
JAWS-Oita月例会
Authyのインストール1.まず、アプリをモバイル機器にダウンロードします。 2.PCのブラウザからGoogleの設定画面を表示します。 https://www.google.com/settings/ セキュリティ→2段階認証プロセス 確認コード→QRコードを表示させてAuthyを立ち上げてAddすることで登録できます。 確認できた6桁のコードを入力して登録終了です。2014/9/29 17
JAWS-Oita月例会
Authyのセットアップ
2014/9/29 18
電話番号を入力
電話(自動音声) かSMSで
アクティベートします
送られた番号 を入力します。
JAWS-Oita月例会
Googleの設定画面
2014/9/29 19
JAWS-Oita月例会
Authyの設定
2014/9/29 20
JAWS-Oita月例会
Authyが使えるサービス■ Google、GoogleApps、Facebook、Microsoft、Evernote、Dropbox、LastPass、そしてAmazonAWSなど沢山。
■ 使えない主なサービス →Apple、Yahoo!、Twitter2014/9/29 21
JAWS-Oita月例会
AWSでAuthyを設定する
2014/9/29 22
JAWS-Oita月例会
SecurityStatus→MFA
2014/9/29 23
JAWS-Oita月例会
画面に従って、次へ
2014/9/29 24
JAWS-Oita月例会
QRコードをAuthyで読む
2014/9/29 25
上にまず、数字を入力 30秒後に表示される数字を下に入力
JAWS-Oita月例会
Authy~AWSの設定
2014/9/29 26
JAWS-Oita月例会
AWSのロゴの表示を確認
2014/9/29 27
JAWS-Oita月例会
6桁の数字が表示される
2014/9/29 28
Authyに表示されている数字を「Authentication Code 1」に入力、 時間が経過し、次にAuthyに表示される数字を「Authentication Code 2」に入力したら次へ
JAWS-Oita月例会
登録が終了しました。
2014/9/29 29
JAWS-Oita月例会
Authyのメニュー次回rootアカウントでAWSにログインするときは、AuthyのメニューでAWSを選び、画面に表示される6桁の数字を入力するとログインできるようになる。
2014/9/29 30
JAWS-Oita月例会
IAMユーザーに権限を
2014/9/29 31
JAWS-Oita月例会
新しいIAMUserをつくる
2014/9/29 32
JAWS-Oita月例会
適当な名前をいれます
2014/9/29 33
JAWS-Oita月例会
新しいユーザーが作成された
2014/9/29 34
Credentialも保管しておくこと
JAWS-Oita月例会
ユーザーの確認
2014/9/29 35
JAWS-Oita月例会
ユーザーポリシーの確認
2014/9/29 36
JAWS-Oita月例会
ユーザーポリシーの設定
2014/9/29 37
■ 該当のIAMユーザーができたら、再度選択し、Permissionsの欄から「Attach User Policy」を選択します。
JAWS-Oita月例会
ユーザーポリシーの設定画面■ このIAMユーザーに設定する権限のポリシーを選択します。今回は「Administrator Access」を選択しました。
2014/9/29 38
JAWS-Oita月例会
IAMユーザーにMFAを設定
2014/9/29 39
JAWS-Oita月例会
パスワードの設定IAMユーザーの管理画面に戻り、「Manage Password」をクリック
2014/9/29 40
JAWS-Oita月例会
MFAデバイスの設定
2014/9/29 41
JAWS-Oita月例会
MFAを設定する■ rootユーザーにMFAを設定したように、このIAMユーザーにもMFAを設定します
2014/9/29 42
JAWS-Oita月例会
ユーザーグループも必要なら
2014/9/29 43
JAWS-Oita月例会
PasswordPolicyの設定
2014/9/29 44
JAWS-Oita月例会
サインするためのリンク■ IAM users sign-in linkのカスタマイズ
2014/9/29 45
JAWS-Oita月例会
ログインできる確認します。■ IAM users sign-in linkからIAMユーザーのMFAでログインできることを確認したら完了
2014/9/29 46
JAWS-Oita月例会
MFAデバイスを紛失した!■ 各サービスで対処方法が異なります。 →リカバリー方法をよく確認しておきましょう。 ■ Authyの場合バックアップ端末を使ってログインして、該当するMFAを無効化できます。
■ バックアップが無ければ専用の窓口から電話で対応となるようです。2014/9/29 47
JAWS-Oita月例会
Authyを他の端末で使う設定から Multi-deviceを オンにする。
2014/9/29 48
JAWS-Oita月例会
他の端末にAuthyをセット■ Authyアプリをインストールして Bluetoothで相互接続をすることで 他の端末でもAuthyを使うことができます。 何台でも増やせるようです。 ※ただしセキュリティレベルが下がるので必要最小限にとどめることをお薦めします。2014/9/29 49
JAWS-Oita月例会
Authyをブラウザで使う
2014/9/29 50
JAWS-Oita月例会2014/9/29 51
And three more things…
JAWS-Oita月例会
パスワード管理アプリ■ Last Pass ブラウザの機能拡張 モバイルアプリは月1$ ■ PasswordBox 機能拡張とモバイルアプリ 25箇所まで無料。 ■ 1Password アプリとプラグイン(高いけど) iOS版が無料になった。2014/9/29 52
JAWS-Oita月例会
これで、おしまいです。ありがとうございました。
2014/9/29 53