フィッシング耐性のある認証

フィッシング耐性のある認証は、偽のアプリやWebサイトへの機密認証データの公開を検出して防止します。パスキー（FIDO2 WebAuthn）とOkta FastPass（Okta Verifyに付属）は、メール、SMS、ソーシャルメディアのフィッシング攻撃を防ぐフィッシング耐性のあるAuthenticatorです。また、デバイスやネットワークがすでに侵害されている場合に、攻撃の影響を軽減することもできます。

手順

ユーザーにフィッシング耐性のある要素タイプでサインインさせるには、次の手順に従います。

1. パスキー（FIDO2 WebAuthn） またはOkta Verifyをセットアップします。

2. Okta FastPassを構成します。

   iOSまたはmacOS管理対象デバイス向けのOkta FastPassを使用するときは、SSO拡張機能プロファイルを構成します。

   • iOSデバイスのSSO拡張機能を構成するを参照してください。
   • 管理対象のmacOSデバイスのSSO拡張機能を構成するを参照してください。

3. Okta FastPassまたはパスキー（FIDO2 WebAuthn）のAuthenticator登録ポリシーを構成します。Authenticator登録ポリシーを作成するを参照してください。

4. フィッシング耐性のある所有要素を必要とするアプリ・サインイン・ポリシーを構成します：パスキー（FIDO2 WebAuthn）またはOkta FastPass。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。

ユーザーエクスペリエンス

アプリがフィッシング対策を必要とするポリシーによって保護されている場合、ユーザーOkta FastPassまたはパスキー（FIDO2 WebAuthn）を使用してサインインできます。Okta FastPassがサポートされていない場合、ユーザーはパスキー（FIDO2 WebAuthn）でサインインするよう求められます。

Okta FastPassまたはパスキー（FIDO2 WebAuthn）を使用した認証は、ユーザーが直接またはサポートされているブラウザーからアプリにアクセスする場合、すべてのサポートされているオペレーティングシステムでフィッシングに耐性があります。いくつかの制限事項があります。

• WebViewの実装が原因で、一部のアプリはOktaのフィッシング耐性のある認証をサポートしません。ユーザーがこのタイプのアプリにアクセスし、アプリ・サインイン・ポリシーがフィッシング耐性を求める場合、認証は失敗し、Access deniedというメッセージが返されます。
• macOSでは、SafariでのOkta FastPassを使った認証がフィッシング耐性を持つようにSSO拡張機能を構成します。
• ユニバーサルWindowsプラットフォームアプリでは、フィッシング耐性のある認証がサポートされるようにスクリプトを実行する必要があります。
• DNSリバインディング攻撃防止は、一部のルーターに搭載されている機能です。この機能は、Okta Verifyがデバイス上のブラウザーやネイティブアプリに対して、安全な接続を確立できないようにします。そのような状況でサインインしようとすると、フィッシング耐性チェックに失敗します。この機能が環境で有効化されているかについて、ルーターのドキュメントで確認してください。

ユーザーの認証時にフィッシング攻撃を受けた場合は、そのイベントがシステムログに記録されます。Okta FastPass declined phishing attemptのようなメッセージがログに記録されます。

関連項目

Okta FastPass