UJP - セキュリティ概論2 パスワードと認証

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ スキルチャージ の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - セキュリティ概論2 パスワードと認証

セキュリティ概論2 パスワードと認証

カテゴリ : 
スキルチャージ » 放送大学
ブロガー : 
ujpblog 2022/5/7 13:14
 最近はマルチファクタ(2要素)認証が主流だけれど,パスワードレスへの動きも加速してますね.

	• 本人性確認.認証.相手が判断するのは,識別.
	• 認証の種類と特徴
		○ (1)記憶による認証Something you know パスワードなど
		○ (2)所持による認証Somothing you have ICカードなど
		○ (3)本人の特徴による認証Something you are 指紋認証,顔認証
	• リモート認証遠隔のサーバ上通信化経路の暗号化,ハッシュ化
	• ローカル認証利用端末上データ暗号化
	• 他要素認証
	• パスワード(記憶)と端末認証(所持)
	• パスワード
		○ パスワードはハッシュ化する
		○ チャレンジレスポンス方式
			§ サーバ側がチャレンジと呼ばれるランダムな情報返す
			§ 人間がレスポンスを返す
			§ パスワードが通信経路を通ることがない.
	• パスワード生成
		○ 記憶しやすい,推測しやすい
			§ →パスワード構成ポリシー,パスワード強度
			§ →長いパスワード(複数キーワードを使う)はパスフレーズ
		○ パスワード管理
			§ IDとパスワードを使い回すリスクはパスワード管理ツールの信頼性より高い.
		○ 定期的なパスワード変更
			§ 定期変更させると分かりやすいパスワードをつける傾向がある.
			§ なんどか繰り返して元のパスワードに戻ってくる
			§ 2017年ごろから推奨しない感じになってきた.
		○ 秘密の質問
			§ 効果が薄い,ある程度調べると判明する.
	• パスワードの管理
		○ ハッシュか,ソルト,ストレッチングの利用.		
	• パスワードに対する攻撃
		○ オンライン攻撃総当たり
		○ オフライン攻撃DBなどのハッシュ値に対してパスワードを探す
		○ ソーシャルエンジニアリング→ユーザの心理や認知を悪用し技術を使うことなくIDとパスワードを摂取する.
		○ リスト型→漏洩した別のサービスで試す.
	• 認証と認可
		○ 認証→自分が何者であるか主張し相手に確認してもらう
		○ 認可→ユーザ権限に応じたリソースに対するアクセス権
		○ ユーザIDの管理とリソースへのアクセス権限の管理が分離され,組織内における認証の統一化や
		  組織間にまたがるリソースアクセスの認可機構などが実現される.

トラックバック


広告スペース
Google