フィッシング耐性のある認証
フィッシング耐性のある認証は、偽のアプリやWebサイトへの機密認証データの公開を検出して防止します。FIDO2(WebAuthn)とOkta FastPass(Okta Verifyに付属)は、メール、SMS、ソーシャルメディアのフィッシング攻撃を防ぐフィッシング耐性のあるAuthenticatorです。また、デバイスやネットワークがすでに侵害されている場合に、攻撃の影響を軽減することもできます。
手順
ユーザーにフィッシング耐性のある要素タイプでサインインさせるには、次の手順に従います。
-
FIDO2(WebAuthn)またはOkta Verifyをセットアップします。
-
iOSまたはmacOS管理対象デバイス向けのOkta FastPassを使用するときは、SSO拡張機能プロファイルを構成します。
- 「iOSデバイスのSSO拡張機能を構成する」を参照してください。
- 「管理対象のmacOSデバイスのSSO拡張機能を構成する」を参照してください。
-
Okta FastPassまたはFIDO2(WebAuthn)のAuthenticator登録ポリシーを構成します。「Authenticator登録ポリシーを作成する」を参照してください。
-
フィッシングに耐性のある所有要素を必要とするAuthenticationポリシーを設定します:FIDO2(WebAuthn)またはOkta FastPass。「認証ポリシールールを追加する」を参照してください。
ユーザーエクスペリエンス
アプリがフィッシング対策を必要とするポリシーによって保護されている場合、ユーザーはOkta FastPassまたはFIDO2(WebAuthn)を使用してサインインできます。Okta FastPassがサポートされていない場合、ユーザーはFIDO2(WebAuthn)でサインインするよう求められます。
Okta FastPassまたはFIDO2(WebAuthn)を使用した認証は、ユーザーが直接またはサポートされているブラウザーからアプリにアクセスする場合、すべてのサポートされているオペレーティングシステムでフィッシングに耐性があります。いくつかの制限事項があります。
- WebViewの実装が原因で、一部のアプリはOktaのフィッシング耐性のある認証をサポートしません。ユーザーがこのタイプのアプリにアクセスし、ポリシーがフィッシング耐性を求める場合、認証は失敗し、「アクセスは拒否されました」というメッセージが返されます。
- macOSでは、SafariでのOkta FastPassを使った認証がフィッシング耐性を持つようにSSO拡張機能を構成します。
- ユニバーサルWindowsプラットフォームアプリでは、フィッシング耐性のある認証がサポートされるようにスクリプトを実行する必要があります。
- DNSリバインディング攻撃防止は、一部のルーターに搭載されている機能です。この機能は、Okta Verifyがデバイス上のブラウザーやネイティブアプリに対して、安全な接続を確立できないようにします。そのような状況でサインインしようとすると、フィッシング耐性チェックに失敗します。この機能が環境で有効化されているかについて、ルーターのドキュメントで確認してください。
ユーザーの認証時にフィッシング攻撃を受けた場合は、そのイベントがシステムログに記録されます。「Okta FastPassはフィッシング試行を拒否しました」のようなメッセージがログに記録されます。