●トピック
・AAAプロトコル
・多要素認証
・パスワード認証
・スマートカード
・動的トークン
・チャレンジレスポンス認証
・生体認証
・FIDO
・アウトオブバンド特定証明
●深く知る
認証はユーザとシステムをつなぐうえでセキュリティ要件が問われる部分である。ひと昔前はパスワード認証を用いていましたが、今はもはやパスワード認証に安全性は担保できない。人間の頭で生成し持続的に記憶し続けられるランダム性・長さというのは限りがあります。無意識のうちにある単語に似た文字列をパスワードの中に入れてしまったり、もっと言うとランダムと言われた時に人間がどのような文字列を作るのかというには、規則性を得ることがあります。こういった文字列を数理的に推測し、パスワード認証に成りすます攻撃を成功させようとするのです。辞書攻撃といった規則性によって効率的に試行を行う方法もあります。したがって、各システムのパスワード設定画面では文字種や文字列の長さを強制するのです。
パスワード認証は記憶の中にある唯一の文字列と考えられますが、当然可能な限り試行できてしまえば、いつかは突破できてしまいます。したがって、一般的なシステムでは試行回数を設けて、数回の失敗を行った場合に利用できなくし、悪意のあるユーザーによる試行の継続を妨げます。ユーザーを一時的に利用できなくなることをアカウントロックと言います。一方でアカウントロックをしたままではユーザーはサービスを永続的に利用できなってしまいますので、適切な処理を経て解除する必要があります。現在は取られている方法は2つです。1つはアカウントロックしているユーザーが自らシステム管理者もしくは問い合わせを行いアカウントロックを解除する方法です。ここでは、パスワード認証以外の方法で本人性を確保する必要があります。もう1つは、時間経過によるアカウントロック解除です。アカウントロックは残念なことにパスワードを設定した本人であっても、パスワード失念によって起きます。そういったユーザーに対してすべて問い合わせが来てしまっては運用負荷が非常に高くなります。したがって、アカウントロックから一定時間で自動解除する機能を導入する方法も考えられるのです。