フィッシング耐性のある認証
フィッシング耐性のある認証は、偽のアプリやWebサイトへの機密認証データの公開を検出して防止します。パスキー(FIDO2 WebAuthn)とOkta FastPass(Okta Verifyに付属)は、メール、SMS、ソーシャルメディアのフィッシング攻撃を防ぐフィッシング耐性のあるAuthenticatorです。また、デバイスやネットワークがすでに侵害されている場合に、攻撃の影響を軽減することもできます。
手順
ユーザーにフィッシング耐性のある要素タイプでサインインさせるには、次の手順に従います。
-
パスキー(FIDO2 WebAuthn)またはOkta Verifyをセットアップして有効化します。
-
iOSまたはmacOS管理対象デバイス向けのOkta FastPassを使用するときは、SSO拡張機能プロファイルを構成します。
- 「iOSデバイスのSSO拡張機能を構成する」を参照してください。
- 「管理対象のmacOSデバイスのSSO拡張機能を構成する」を参照してください。
-
Okta FastPassまたはパスキー(FIDO2 WebAuthn)のAuthenticator登録ポリシーを構成します。「Authenticator登録ポリシーを作成する」を参照してください。
-
フィッシング耐性のある所有要素を必要とするアプリサインインポリシーを構成します:パスキー(FIDO2 WebAuthn)またはOkta FastPassです。「アプリ・サインイン・ポリシー・ルールを追加する」を参照してください。
ユーザーエクスペリエンス
アプリがフィッシング対策を必要とするポリシーによって保護されている場合、ユーザーはOkta FastPassまたはパスキー(FIDO2 WebAuthn)を使用してサインインできます。Okta FastPassがサポートされていない場合、ユーザーはパスキー(FIDO2 WebAuthn)でサインインするよう求められます。
ユーザーがアプリに直接アクセスするか、サポートされるブラウザーからアクセスする場合、Okta FastPassまたはパスキー(FIDO2 WebAuthn)による認証は、サポートされるすべてのオペレーティングシステムでフィッシング耐性があります。いくつかの制限事項があります。
- WebViewの実装が原因で、一部のアプリはOktaのフィッシング耐性のある認証をサポートしません。ユーザーがこのタイプのアプリにアクセスし、アプリ・サインイン・ポリシーがフィッシング耐性を求める場合、認証は失敗し、「Access denied」というメッセージが返されます。
- macOSでは、SafariでのOkta FastPassを使った認証がフィッシング耐性を持つようにSSO拡張機能を構成します。
- ユニバーサルWindowsプラットフォームアプリでは、フィッシング耐性のある認証がサポートされるようにスクリプトを実行する必要があります。
- DNSリバインディング攻撃防止は、一部のルーターに搭載されている機能です。この機能は、Okta Verifyがデバイス上のブラウザーやネイティブアプリに対して、安全な接続を確立できないようにします。そのような状況でサインインしようとすると、フィッシング耐性チェックに失敗します。この機能が環境で有効化されているかについて、ルーターのドキュメントで確認してください。
ユーザーの認証時にフィッシング攻撃を受けた場合は、そのイベントがシステムログに記録されます。「Okta FastPassはフィッシング試行を拒否しました」のようなメッセージがログに記録されます。