TOPセキュリティ > Web認証手法を包括的に評価する枠組み(下)

セキュリティ

Web認証手法を包括的に評価する枠組み(下)

2018/06/29

Roger A. Grimes CSO

 何年も前に公開されていた情報にたまたま出会い、その情報が自分の重要な関心事にジャストミートで、今まで存在を知らなかったなんて信じられない、と思うことはないだろうか。筆者がまさにそう感じた素晴らしい報告書がある。 Webで使われている各種の認証手法を比較検討した「The Quest to Replace Passwords:A Framework for Comparative Evaluation of Web Authentication Schemes」だ。著者は、Joseph Bonneau、Cormac Herley、Paul C. van Oorschot、Frank Stajanoの各氏である。

前回から続く)

 報告書では、それぞれの認証手法の一つひとつの項目に対して、達成の度合いを3段階で評価している。項目に順位はないが、このプレーンな状態の枠組みをベースに、項目の追加や削除を行ったり、各自が求める重要度に応じて重み付けを加えたりといったことも、簡単にできるはずだ。例えば、実際に導入するソリューションを探す目的で認証手法を評価している方々の多くは、コスト(初期費用とランニングコストの両方)や、ベンダーの具体的な製品を追加するとよいだろう。

↑ページ先頭へ