ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。
本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。
前回記事の冒頭で紹介した「パスワードデータを平文保存しているサービスがある」問題の続報です。昨日、フィッシング対策協議会が行った発表「インターネットサービス提供事業者に対する 『認証方法』 に関するアンケート調査結果 (速報)」にて、以下のような記述がありました。
大部分の回答者が質問に 「はい (パスワードを読めない状態で管理している)」 と答える一方、13.6% の回答者が 「いいえ」 と回答しており、パスワードを 「平文」、つまりそのままの状態で管理していると思われます。
この「13.6%」という数字を見て、私は「えっ、まだこんなにあるの!?」と驚きましたが、これは末席ながら私がセキュリティ界隈にいるからなのでしょうか。JPCERTコーディネーションセンターの2018年の発表にあるような、「実際に使用しているパスワードが記載された脅迫メール」が出回るわけだ、と納得してしまいました。
利用者の皆さまは、「パスワードの使い分け」を実施しましょう。使い分けておけば、漏えいした場合も脅迫メールを通じてどこから情報が漏れたかが分かるかもしれません(皮肉なことですが)。パスワードデータ平文保存にお心当たりのあるサービス事業者の方は、難読化処理の導入をお勧めします。
このようなパスワード認証が抱える課題への対策の1つが「二段階認証」です。前回は、所有物認証の中でも、二段階認証を導入しているインターネットサービスの多くが二段階目の認証として採用している「所有物認証」の各方式について紹介いたしました。
今回は前回紹介しきれなかった所有物認証の方式と、認証に使うデジタルな所有物「電子証明書」の仕組みについて紹介いたします。
マスの中に数字や文字が書かれた表(乱数表)が印刷されたカードをあらかじめ配布しておき、認証のたびに行と列が指定され、指定されたマス内の数字・文字を入力して認証する方式です。
乱数表に書かれた内容がアカウントごとに異なるため、同じ場所を指定されたとしても入力する内容も異なるものになります。この仕組みで、特定のカードだと判別し、そのアカウントを認証します。
表ではなくただの数列が示され、「右から2番目と4番目と5番目と7番目の数を入力」と指示される場合もあります。インターネットバンキングでは、前回紹介した時間によってワンタイムパスワードが計算される仕組みである「TOTP」(Time-based One-Time Password)に切り替わりつつありますが、まだ乱数カードが利用されているところもあります。マス内に描かれたイラストを選択する方式もあります。
乱数表カードの利点は、スマートフォンなどの電子機器を使わないので、電子機器に慣れない人でも対応できそうなことと、携帯性が高いことです。スマホを持っていない人に使ってもらうことを想定すると、紙に印刷するだけでよいので、機器を用意する必要があるハードウェアトークンよりも導入コストは低く抑えられます。
弱点としては、乱数表を写真撮影されてしまうと情報を盗まれたことにすら気付けないことです。ですので、放置するのは絶対にNGです! あと、乱数表を見ながら数字・文字を判別して入力するのは、他の方式に比べてやや面倒ではあります。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR