TOPセキュリティ > Web認証手法を包括的に評価する枠組み(上)

セキュリティ

Web認証手法を包括的に評価する枠組み(上)

2018/06/25

Roger A. Grimes CSO

 何年も前に公開されていた情報にたまたま出会い、その情報が自分の重要な関心事にジャストミートで、今まで存在を知らなかったなんて信じられない、と思うことはないだろうか。筆者がまさにそう感じた素晴らしい報告書がある。 Webで使われている各種の認証手法を比較検討した「The Quest to Replace Passwords:A Framework for Comparative Evaluation of Web Authentication Schemes」だ。著者は、Joseph Bonneau、Cormac Herley、Paul C. van Oorschot、Frank Stajanoの各氏である。

 この報告書は、米国電気電子学会(IEEE)が2012年に開催したセキュリティとプライバシーに関するシンポジウムで発表されたもの。パスワードや、2要素認証(2FA)のさまざまな手法とデバイスなど、Webの認証手法を評価するための包括的な枠組みを打ち出している。認証手法について検討した資料として、筆者が知る中で最も網羅的だ。報告書では、使いやすさ、採用しやすさ、セキュリティという3つのカテゴリーに大別した25項目に基づいて、パスワードや2要素認証のソリューションを一つひとつ評価している。この比較検討の枠組みは、ユーザーや管理者が具体的な認証ソリューションを各自で評価する際にも応用できる。

↑ページ先頭へ