認証システムについて

情報処理安全確保支援士

今回は様々な認証システムについて説明していきたいと思います。
その前に、まずは認証ってどういったものなのかの確認となります。

認証はそもそも何のためにするものかというと、
人(ユーザ名)や端末(IPアドレス、ホスト名)によってアクセスを制限するためです。
その上で、認証には主に二つがあります。

・二者間認証
アクセスをする側(ユーザ)
認証してアクセス制御をする側(認証サーバ)

・三者間認証
アクセスをする側(ユーザ)
認証してアクセス制御をする側(認証サーバ)
公的な第三者機関(CA局)

この構成は証明書を用いた認証システムとなります。

認証の仕組み
では、以下より認証システムについて説明となります。

固定パスワードによる認証

これはよくある決まったユーザ・パスワードで認証を行う方式です。

運用に当たって、
・他人に推測されにくいパスワードにする。
・パスワードの入力時に覗き見されないように、周囲を気をつける。
・こまめにパスワードを変更する。

などのことを注意することが重要です。

また、暗号化されない環境ではパケットを盗聴される危険があるため、
HTTPS,SSHなど暗号化プロトコルを使用していることも重要です。

 

ワンタイムパスワードによる認証

ワンタイムパスワードとは、毎回異なるパスワードを使用して認証を行う方式です。
略して、OTP方式とも呼ばれます。

OTP方式には、主に以下二つのシステムを使用します。

チャレンジレスポンス方式によるOTP認証

チャレンジレスポンス方式とは「チャレンジ」と「シード(Seed)」、「レスポンス」を使って、
固定パスワードそのものをネットワーク上に流さないようにする方法です。

「チャレンジ」・・・固定パスワード
「シード」・・・乱数文字列
「レスポンス」・・・クライアントが送るハッシュ関数に変換した文字列

① サーバが「チャレンジ」という乱数文字列をクライアントに送る。
② クライアントは「チャレンジ」と自身の中に保存している「シード」を組み合わせて、ハッシュ関数に変換した文字列(レスポンス)をサーバに返す。
③ サーバはあらかじめ登録されているクライアントのパスワードを用いてハッシュ関数に変換し、
先ほどクライアントから送られていく文字列と照合して認証を行う。

PPPの認証時にCHAP(Challenge Handshake Authentication Protocol)というプロトコルがありますが、CHAPはこの方式を用いて認証を行います。

この方式では、
・固定パスワードそのものが流れることがない
・ハッシュ関数を用いているため、盗聴されたとしてもパスワード解析が困難
・認証後も繰り返しチャレンジを送信し認証することができるため、セッションハイジャックなどの防止になる

などのメリットがありますが、

安易な固定パスワードを設定している場合は、
盗聴したチャレンジとレスポンスから、パスワードを解析される可能性もあります。

トークンによるOTP認証

トークンと呼ばれるシステムを用いて認証を行う方式です。

トークンは、一定時間(60秒など)ごとに変化するパスワードを生成します。
トークンにはハードウェアとソフトウェアがあります。
ハードウェア・・・USBメモリ型、カード型など
ソフトウェア・・・パソコン用、タブレット用、携帯用など

構成要素として、トークンの他以下が存在します。

・認証サーバ
トークンのシリアル番号、ユーザ名、PINコードなどを管理するサーバです。

・エージェント
クライアントと認証サーバ間の受け渡しを行います。RASサーバなどがこの役割を担います。
エージェントには専用のソフトウェアをインストールする必要があります。

【トークンによる時刻同期式OTP認証】
トークンによる時刻同期式OTP認証
トークンによる認証はハードウェアの場合、
トークンの貸し借りや紛失・盗難といった運用面で注意することが必要です。

トークンの利用時にPINコードの入力を必要とさせるよう盗難などの対策を取っておくことが重要です。

ICカードによる認証

ICカードとはICチップを埋め込み情報を記録できるようにしたカードのことです。
ICカードに格納された「秘密鍵」を使用して暗号化された暗号鍵を復号し、復号化した「暗号鍵」を用いてデータを復号します。

ICカードは携帯性・秘匿性も高いため、(ICカードから保存されたデータを抜き取ることは困難)
建物へ入るためのキーとしてや、企業内でパソコンにユーザログオンするためなどに広く利用されています。

一方、紛失・盗難のリスク、破壊されるリスクなどがあります。
盗難などの不正利用や貸し借りができないように、パスワードやバイオメトリックス認証と組み合わせて利用する場合もあります。

 

バイオメトリックスによる認証

バイオメトリックス認証とは主に生体認証のことを指します。

・指紋
・顔
・網膜
・静脈

他にも、以下の特徴についても
バイオメトリックス認証に含まれます。

・音声
・キーストローク(タイピングのリズムやパターン)

こういった特徴によって個人を特定します。
ユーザID・パスワードやICカードの認証に比べると、忘れたり紛失することがないので非常に便利ですが、
ただし、正確、大規模なものであればあるほど価格が高くなります。

 

コメント

タイトルとURLをコピーしました