hgot07 Hotspot Blog

主に無線LANや認証連携などの技術についてまとめるブログです。ネコは見る専。

無線LANの認証もパスワードレスになる

タイトルの通りです

あと、認証はします。(重要)
認証のない無線LANなんて、利用者にとっても、事業者にとっても、危なすぎるので。

 

従来の無線LAN

公衆無線LANでも、学校などのキャンパス無線LANでも、利用者認証のあるシステムではIDとパスワードを使う方式が広く使われてきました。フリーWi-Fiでも、数日立つとメールアドレスの入力を促されるなど、はげしくちょっと面倒くさいです。

学術系の無線LANローミング基盤 eduroam のように、WPA2 Enterprise (IEEE 802.1Xベース、通称1X認証) で自動接続ができるシステムでも、最初のWi-Fi接続設定の段階でIDとパスワード (とその他もろもろ) を打ち込まないといけないことが多いです。

毎年、新学期になると、「eduroamにつなげない」という声がちらほら出てきます。IDやパスワードの打ち間違いもよく観測されていて、「ずっとlと1を間違えていたわ」みたいなことがあります。

1X認証のうち、EAP-TTLSやPEAPといった方式では、サーバ認証の設定が本来必要です。この辺の七面倒くさい設定を楽にしてくれる設定ツールとして、eduroam CAT や geteduroam がありますが、これらも学校から発行されたIDとパスワードを打ち込まなくてはなりません。

いや、これ、面倒でしょう!  (間違えやすいし)

みなさん、機関から発行されたIDとパスワードでログインする方式に、慣らされすぎていません?

 

パスワードレスな無線LAN

ID/パスワードを打ち込まなくても利用者認証される無線LAN、実は身の回りにも少しあります。

最近のキャリアWi-Fiは、SIMカードを使うEAP-AKA認証などが用いられていて、スマホSIMカードを挿すだけで利用できたりします。キャリアごとのプロファイルのインストールが必要な場合もありますが、パスワードとかどこにも出てきません。

「最近の」ということは、昔はどうだったのかというと、ID/パスワードの設定が必要な時期がありました。現在でも、スマホではなくPCを接続しようとすると、ID/パスワードの入力が必要になったりします。

大学によっては、EAP-TLS認証を採用していて、クライアント証明書を端末にダウンロードしてWi-Fi設定を行うこともあります。電子証明書を手入力なんて、無理ですからね。

これから普及が期待されるPasspointやOpenRoamingでは、端末の設定項目が多いために、ID/パスワードの手入力は無理です。そこで、既に接続されている回線を利用して、Passpointプロファイルをダウンロードして、Wi-Fi設定を行うことになります。どんな感じかというと、例えば以下のOnline Sign-Up (OSU)システムで体験できます。

osu.odyssys.net

ボタンをいくつかクリックするだけでWi-Fi設定が完了します。ただし、上記のサービスは利用者の紐付けがないので、匿名利用ということになっています。

これで利用者認証と言えるの?
はい、実はダウンロードしたプロファイルにはEAP-TTLSの設定が含まれていて、ID/パスワードが埋め込まれています。興味のある人は、プロファイルをデコードしてみてください。

カフェなどにあるQRコードでも、ID/パスワード入力なしでつながるのでは?🤔
あー、あれはセキュリティ上、最悪の方から二番目ぐらいです。
WPA2 Enterpriseではなくて、共通鍵を利用するWPA2 Personalが使われています。つまり、利用者認証がない上に、偽基地局問題があります。

 

パスワードレスの無線LANの時代へ

無線LANの利用者認証でも、ID/パスワードの入力を無くせないでしょうか?

ウェブ方面では、最近、パスワードレスが盛んに叫ばれるようになってきました。FIDO2とか、普及にはまだ時間がかかりそうですが。

学校のユースケースを見てみましょうか。まず、利用者は自分の無線LAN用ID/パスワードを知るために、学校の情報システムにログインします……って、あれ?もうログインしていますね。それなら、なんでID/パスワードをコピペしないといけないのでしょうか。

既にログイン済みのシステムがあるなら、電子的手段でWi-Fiプロファイルを端末に仕込めばよいではないですか。

同じことが、SNSのように他の認証システムでログインしてから利用者登録するタイプの公衆無線LANにも言えます。

あっさり解決できそうですね。

ということは、ID/パスワード方式のメリットはないのでは?🤔

現在、利用者が何らかのネット接続手段を持っているというのが一般的になっているので、無線LANに最初に接続するとき (onboardingと呼ばれる) にネットが使えない場面はだいぶ少なくなっているでしょう。しかしながら、外国に行ったら携帯電話網がすぐ使えるとは限らないので、現地で紙ベースでID/パスワードを発行してもらうことがあるでしょう。観光地や会議場の無線LANも同様です。

しかし、セキュリティ強化の観点からWPA2 EnterpriseやPasspointが導入されてきているので、ID/パスワードの手入力の運用は、やはり限界があります。他にネットのない状況で、オープンな無線LANシステムを利用して Online Sign-Up (OSU) を実現する方式が、Wi-Fi AllianceやWireless Broadband Allianceなどをはじめ、業界で検討されています。

個人的には、現地で電子的手段で安全に提示できるアイデンティティがないなら、オンラインでの利用者登録というアプローチには懐疑的です。ただし、人手により利用者の紐付けを行った上で認証コード付きのヴァウチャーを発行する仕組みならば、よい落としどころになりそうな気がします。

 

長ったらしいID/パスワードを利用者に入力させるのは止めましょう!

無線LANもパスワードレスを目指しましょう!

 

スマホは認証デバイスになるし、ウェブサイトのシングルサインオンも利用できそうです。つまり、どこかで認証が既に通っているなら、無線LANのアカウント発行から端末の設定まで、自動化すればよさそうですね。

というわけで、Wi-Fiプロファイルを端末に流し込む仕組みを、自分でも試してみました。ちょっと、というか現状ではかなり(?)面倒くさいのですが、前述のGlobalReachもやっているし、がんばれば可能です😂

Passpointプロファイルのプロビジョニングの例

Passpointプロファイルのプロビジョニングの例

 

余談

そうは言っても、やっぱりID/パスワードが見たいんじゃー!という人もいると思います。自分もそうです。サポート端末以外でも利用できるように、特に大学では、ID/パスワードと設定情報を提供すべきだと考えます。EAP-TLSの場合は、証明書のダウンロード機能も。

 

おしまい