2019年現在　よく使われている認証など

セブンペイの事件や、他のサイトでも認証が緩そうといったネタを連発しましたが。

批判ばかりでは問題解決にはならないので、現在使われている認証で、実用的なものなどをピックアップしてみます。

認証要素の種類

現在、最も普及しているのはパスワードです。

これは、知識（記憶）認証と呼ばれる認証です。

パスワードの運用や認証のための実装で必要な基準などは、前の記事で触れました。

認証で用いられる要素は、現在実用化されて利用できるものは以下のものがあります。

知識（記憶）認証
所持認証
生体認証

知識認証は、先に述べたパスワードを用いた認証がメジャーです。

それ以外に、各個人の属性情報（生年月日や住所、本籍地など）や画像を用いるケースがあります。

所持認証は、IDカードなど物理的に所持していることで行う認証です。

他に、USBのキーやワンタイムパスワードのトークンもこれにあたります。

生体認証は、指紋、静脈、虹彩、顔などの生態的特長で行う認証です。

二要素認証は、これらのうち２つの要素を用いて認証する方法です。

二段階認証と二要素認証の違い

ところで、今までの記事でも「二要素認証・二段階認証」と併記してきましたが、この説明をしていなかったですね。

文字が似ていますが、仕組みは異なります。

二要素認証は、上で述べた複数の要素のうち、2つを組み合わせて認証を行う方法です。

二要素認証で特にメジャーなのは、銀行などで用いるキャッシュカードではないでしょうか。

キャッシュカードは、「カードを持っている」という所持認証と、「暗証番号を知っている」という知識認証の組み合わせとなっています。

これを突破するには、カードを何らかの方法で取得した上、暗証番号を知る必要があります。

もし、被害者がカードを無くした、または盗まれたとしても、すぐに被害には繋がらず、その間に銀行に通報すれば被害は防げます。

二段階認証は、一つの認証を行った後、異なる方法の認証をさらに行う方法です。

二回認証するから、二段階認証なのです。

最近多く見るのは通常のパスワードとワンタイムパスワードの組み合わせで、通常のパスワード認証のあと、SMSやメール、パスワードトークンを用いてさらに認証することで実現しています。

これを突破するには、攻撃者はターゲットのパスワードを取得し、かつワンタイムパスワードを盗聴するなどして取得する必要があり、攻撃の成功のハードルは大きく上がります。

仕組みは違うものの、いずれも現実的なセキュリティとしては十分な強度を持つことができます。

これはちょっとしたうんちくですが。

SMS認証については、数年前から危険性が指摘されています。

NISTが警告、SMSでの二段階認証が危険な理由

https://japan.zdnet.com/article/35095393/

SMSの通信の規格になってきますが、この通信は、確か暗号化されていないのでは・・・？

そのため、通信のインターセプトが問題になる、という指摘で、実際に成功例もあるようです。

また、スマホがマルウェアに感染した場合にも問題が生じます。

例えば、マルウェアに感染したスマホでSMSを用いた二段階認証を行った場合、最初に入力したパスワード、その後に送られてきたSMSメッセージ、ともに盗聴される可能性がある、ということになります。

スマホのアプリでも、、ユーザが許可するとアプリは問題なくSMSを参照することができるため、こういった条件が揃うと二段階認証も破られてしまうことには注意が必要です。

二段階認証ではトークンでワンタイムパスワードを発行するものもあります。

これの場合は物理的なデバイスが異なるため、ワンタイムパスワードを直接参照して盗むことは難しいと思います。

この仕組みの場合、IDを共有しているため、このIDの漏えいには注意が必要です。

また、内部的に時計をタイミングをとって同期することでパスワードが整合するようになっているため、長期間使うと時計のずれにより認証の精度が悪くなり、この場合は同期しなおしが必要なこともあります。

reverse-eg-mal-memoのブログ

サイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。
medium(英語):https://sachiel-archangel.medium.com/

2019年現在　よく使われている認証など

認証要素の種類

二段階認証と二要素認証の違い

最近認証の規格

2019年現在 よく使われている認証など

認証要素の種類

二段階認証と二要素認証の違い

最近認証の規格

2019年現在　よく使われている認証など