Open3

メモ: 1Password for Businessの脱パスワード

okuokuokuoku

あっちの記事では話の流れで入れられなかったのでメモだけ。

1Password for BusinessのOkta統合

1Password for Businessは2種類のOkta(SSOソリューション)との統合を提供している:

  1. SCIM統合 https://support.1password.com/scim-okta/ 。これはOktaのユーザー管理と1Password for Businessのユーザ管理を統合するもの。セキュリティ面の仕組みはパスワード強度のUI的なEnforcementができる & 管理者がセキュリティイベントのauditをできる以外にはPersonalのものと差は無い。
  2. Unlock with Okta(beta) https://support.1password.com/cs/sso-beta/ 。Oktaのサインインを使用してVaultをunlockする。こちらは従来の1Passwordのシークレットキーやアカウントキーは 使用しなくなる

SCIM統合はあくまでProvisioningの面での統合となるので、Okta側のパスワードは1Password的には一切使われないことになる(Oktaからインポートしたユーザは初回利用時にパスワードを設定する)。SCIM統合はOkta以外のSSOソリューションに対しても使われている。

Unlock with Oktaは比較的新しいソリューションで現在Beta中となっている。こちらは1Passwordのセキュリティデザインを割と根本的に否定している。

okuokuokuoku

1Passwordは何故パスワードを要求しているのか

https://support.1password.com/1password-security/

1Password security begins with your 1Password account password.

... 文書には直接的には書かれていないが、1Passwordは 自社のデータセンタ(AWS)が侵害されてもセキュアになるようにデザインされている 。このためには鍵を外部に置く必要があり、その外部がユーザーの脳内(= 記憶認証)であるパスワードということになる。

(1Passwordは伝統的にAWSを採用している:

https://aws.amazon.com/jp/blogs/startups/customer-focus-turned-1password-into-a-2-billion-business-with-aws/

どのくらいの冗長性を持たせているのかは定かではないが、開発規模から考えてカスタマイズされたソリューションはほぼ採用していないのではないだろうか。)

このため1Passwordに設定するパスワードは超重要な秘密ということになるが、ドキュメント等では特にこれらをブラウザに覚えさせることを止めていない。常識的なブラウザは全てWebパスワードの同期機能を持っているので、ちょっと不味いんではないかと思う。

okuokuokuoku

1Password for Businessでは何故パスワードを諦められるか

ユーザ向けのドキュメントにあるように、Okta SSOにするとシークレットキーやアカウントパスワードが使用されなくなる。

https://support.1password.com/cs/sso-get-started-team-member/

これはつまりOktaというかOpenID Connect認証でアンロックできる場所に従来の秘密鍵を置いているということで、個人向けの1Passwordよりセキュリティ的に後退しているように見える。

これは意図されたデザインで、開発元は "Enterprise" Password managerと通常のパスワードマネージャを区別している

https://blog.1password.com/how-sso-fits-enterprise-security-framework/

し、そもそもfamilyやBusinessプランではVaultのリカバリが可能になっている

https://support.1password.com/recovery/

要するに真のセキュリティ(本人しか情報にアクセスできない)と管理可能性は相反する関係にあり、後者を取っていると言えるんではないだろうか。