多くのWebサイトには、既存のGoogleまたはFacebookアカウント(とりわけ)でログインするオプションがあります。私はパスワードマネージャーを使用しており、強力な疑似ランダムパスワードを使用してWebサイトごとに個別のアカウントを作成する方が安全であると考えたため、長い間これを行うことに抵抗していました。一部のクラウドベースのパスワードマネージャーのブラウザー統合は素晴らしく、なぜ誰もサーバー側バージョンを作成しなかったのか疑問に思い始めました。それから、フェデレーションログインは基本的にサーバー側でパスワードマネージャーに相当するものであることに気づきました(パスワードマネージャーにパスワードを再利用しないと仮定します)。
純粋にセキュリティの観点から、フェデレーションログインを使用するよりも、一意のログイン資格情報を作成してパスワードマネージャーに保存する、またはその逆を好む理由はありますか? (クラウドベースのパスワードマネージャーを使用したいとします)
これを確認する少なくとも1つの方法は、フェデレーションする予定のIDプロバイダー(IDP)に対してターゲットサイトで提供される認証の強度と品質を検討することです。
たとえば、(パスワードマネージャーアプリに保存する)単純な古いパスワードで新しいアカウントを開くか、パスワードに加えてリスクベース認証(RBA)を実行するIDPにリダイレクトするかを選択できるかどうかを検討してください。 IDPの場合。 RBAを備えたシステムは、クライアントのIPアドレス、ブラウザーの特性、そのユーザーの動作の「通常の」パターンなど、認証セッションをスコアリングするためのさまざまな要因を考慮する可能性があります。リスクスコアの場合高いことが判明した場合、そのIDPですでに構成されているいくつかの質問または別のステップアップ方法に回答するように求められる場合があります。
この場合、どのオプションが好きですか?昔ながらのパスワードだけですか、それともPassword + RBAのIDPですか? Facebookなどのサービスは、認証サービスに加えてリスクベースの機能を徐々に展開しています(そのため、名前を付ける友人の写真などが表示される場合があります)。このレポートでRBAの詳細を読むことができます:
http://www.landsbankinn.is/library/Documents/Frettir/The_Forrester_Wave_Risk-B1.pdf
より一般的な定義はここから入手できます:
http://whatis.techtarget.com/definition/risk-based-authentication-RBA
よろしく。
この質問 オフラインとオンラインのパスワードマネージャーの違いについて説明します。
では、オンラインパスワードマネージャーはフェデレーションIDプロバイダーとどのように比較されますか?
2つには同様のリスクプロファイルがあります。どちらの場合も、プロバイダーを完全に信頼しています。これは悪いことではありません。プロバイダーを選択できるので、独自のサーバーを実行することを意味する場合でも、信頼できるプロバイダーを選択してください。どちらのアプローチにも実装上の欠陥のリスクがかなりあり、欠陥の種類は大きく異なりますが、一方のアプローチをもう一方のアプローチより本質的に優れたものにするものは何もありません。
違いはユーザーエクスペリエンスです。フェデレーションログインのフローは一般的に少し優れていますが、それをサポートするために各Webサイトに依存しています。オンラインパスワードマネージャーにはブラウザープラグインが必要です。これは、異なるマシンを頻繁に使用する場合に問題になる可能性があります。