ブログ - セキュリティ概論2 パスワードと認証
最近はマルチファクタ(2要素)認証が主流だけれど,パスワードレスへの動きも加速してますね.
• 本人性確認.認証.相手が判断するのは,識別.
• 認証の種類と特徴
○ (1)記憶による認証Something you know パスワードなど
○ (2)所持による認証Somothing you have ICカードなど
○ (3)本人の特徴による認証Something you are 指紋認証,顔認証
• リモート認証遠隔のサーバ上通信化経路の暗号化,ハッシュ化
• ローカル認証利用端末上データ暗号化
• 他要素認証
• パスワード(記憶)と端末認証(所持)
• パスワード
○ パスワードはハッシュ化する
○ チャレンジレスポンス方式
§ サーバ側がチャレンジと呼ばれるランダムな情報返す
§ 人間がレスポンスを返す
§ パスワードが通信経路を通ることがない.
• パスワード生成
○ 記憶しやすい,推測しやすい
§ →パスワード構成ポリシー,パスワード強度
§ →長いパスワード(複数キーワードを使う)はパスフレーズ
○ パスワード管理
§ IDとパスワードを使い回すリスクはパスワード管理ツールの信頼性より高い.
○ 定期的なパスワード変更
§ 定期変更させると分かりやすいパスワードをつける傾向がある.
§ なんどか繰り返して元のパスワードに戻ってくる
§ 2017年ごろから推奨しない感じになってきた.
○ 秘密の質問
§ 効果が薄い,ある程度調べると判明する.
• パスワードの管理
○ ハッシュか,ソルト,ストレッチングの利用.
• パスワードに対する攻撃
○ オンライン攻撃総当たり
○ オフライン攻撃DBなどのハッシュ値に対してパスワードを探す
○ ソーシャルエンジニアリング→ユーザの心理や認知を悪用し技術を使うことなくIDとパスワードを摂取する.
○ リスト型→漏洩した別のサービスで試す.
• 認証と認可
○ 認証→自分が何者であるか主張し相手に確認してもらう
○ 認可→ユーザ権限に応じたリソースに対するアクセス権
○ ユーザIDの管理とリソースへのアクセス権限の管理が分離され,組織内における認証の統一化や
組織間にまたがるリソースアクセスの認可機構などが実現される.