- 認証は、端末やサービスなどを「誰が扱うのか」や「その人物が正当な本人か」を識別する役割を持っている
認証の情報 †
- 知識(Something you know):あなたが知っていること
- (例:パスワード、暗証番号、秘密の質問、パターンなど)
- 所有(Something you have):あなたが持っているもの
- (例:ICカード、スマホアプリ、携帯電話用SIMカード(SMSメッセージ用)、ハードウェアトークン、USBトークンなど)
- 生体(Something you are):あなた自身のもの。身体的特徴
二段階認証 †
- 二段階認証とは、Webサービスなどにログインする際、ID・パスワードの他に、メールやSMS(ショートメッセージサービス)で送られてくるコードを入力するというように、利用者認証を2回に分けて行う手法
- パスワードが流出した場合に備え、チェック機能をもう一段階設けておくことで、アカウントの乗っ取りを防ぐ目的がある
- 二段階認証の各段階で使用する認証情報を別々の要素にすることで、「パスワードが分かっても、個人を特定してスマホを入手しなければならない」「スマホを入手したとしても、パスワードを推測しなければならない」といった具合に、不正利用者側の手間が増え、情報入手難易度が劇的に上がり、セキュリティ向上につながる
多要素認証 †
- 認証に使う「要素」には、ID・パスワードなどの「本人しか知らない情報」の他、ICカードやスマホなど「本人が持っている物」、さらには指紋や虹彩など「本人の身体的な特徴」といった種類があり、これらを組み合わせるのが多要素認証
関連サービス †
知識認証 †
所有認証 †
SMS認証 †
SMS送信サービス †
生体認証 †
指紋認証 †
静脈認証 †
3Dセキュア †
- 基本的にはパスワード認証
- クレジットカードにひも付いたパスワードをあらかじめ設定しておき、クレジットカードを使用する際にパスワードを入力する
Cisco Duo †
各認証 †
BASIC認証 †
Digest認証 †
WSSE認証 †
- HTTPのX-WSSEヘッダを用いて認証用文字列を送信する認証手段
- WSSE認証用文字列にはユーザー名とパスワードが含まれる
- パスワードはSHA1アルゴリズムによって暗号化されたダイジェストとして送信されるため、HTTP BASIC認証などに比べてセキュアな認証が可能
OAuth †
Google Authenticator †
参考URL †
OAuth 2.0 †
stateパラメタ †
- stateパラメタの限界
- 認証サーバは認可要求からクライアントがstateパラメータを利用しているかどうか”は知ることができるものの, “stateパラメータに共通の値や推測可能な値を指定していないか”、クライアントが正しく認可応答のstateパラメータの検証をしているか”までは知ることができない
PKCE †
- Proof Key for Code Exchange by OAuth Public Clients
リソースオーナーパスワードクレデンシャルグラント †
OpenID Connect †
- OAuth2を拡張したもの
- 機能的で安全な認証システムを実現する方法について明確なガイダンスを提供
SAML †
WebAuthn? †
ログイン認証 †
事例 †
IDフェデレーション †
Sign in with Google †
AWS †