TOPセキュリティ > Web認証手法を包括的に評価する枠組み(中)

セキュリティ

Web認証手法を包括的に評価する枠組み(中)

2018/06/27

Roger A. Grimes CSO

 何年も前に公開されていた情報にたまたま出会い、その情報が自分の重要な関心事にジャストミートで、今まで存在を知らなかったなんて信じられない、と思うことはないだろうか。筆者がまさにそう感じた素晴らしい報告書がある。 Webで使われている各種の認証手法を比較検討した「The Quest to Replace Passwords:A Framework for Comparative Evaluation of Web Authentication Schemes」だ。著者は、Joseph Bonneau、Cormac Herley、Paul C. van Oorschot、Frank Stajanoの各氏である。

前回から続く)

 プロキシベースの認証では、ユーザーがそれぞれのWebサイトで使う本来のパスワードを、複数の新しい中間形式に変換し、プロキシに保存する。ユーザーには、パスワードと直接関連付けられた「キー」(ワンタイムパスワード)のリストが送られる。ユーザーは、登録済みのサイトを訪れたい時に、このワンタイムパスワードを入力する。プロキシはこれを正規のパスワードに変換し、目的のサイトに代理で送る。

 本来のパスワードそのものは、ユーザーのコンピューターにもプロキシにも保存されていない。プロキシが保持しているのは、複数の中間形式だけだ。それぞれの中間形式から、本来のパスワードを生成できる。ユーザーのコンピューターかプロキシが攻撃を受けた場合でも、目的のサイトで使うパスワード自体が簡単に攻撃者の手に渡ることはない。この手法は、確かにセキュリティ問題をある程度解消できるし、パスワードのみを受け入れるサイトであれば使える。しかしユーザーは、目的のサイトにアクセスするセッションごとに入力するワンタイムパスワードをすべて持ち歩かなければならず、あまりユーザーフレンドリーではない。この手法が近い将来に世界を席巻することはまずないだろうが、存在を知ることができたのはよかった。

↑ページ先頭へ