使いまわしてないのに、パスワードリスト攻撃対策の落とし穴：セキュリティ強化塾（4/4 ページ）

[キーマンズネット]

ワンタイムパスワードはチャレンジ＆レスポンス方式がオススメ

　なお、ワンタイムパスワード方式には、中間者攻撃によって不正ログインが行われる事例がわずかではあるが報告されている。そこで、現在普及している時刻同期方式から、通信経路上でのログイン情報窃取に強いチャレンジ＆レスポンス方式への切り替えが進んでいる。

　チャレンジ＆レスポンス方式とは、まずユーザー側がサーバに認証要求を送るところから始まる。ランダムな「チャレンジ」データが戻ってくるので、それにパスワードを加えて特定のアルゴリズムを使って「レスポンス」データを合成し、サーバに送る。サーバ側でも同じアルゴリズムを使って、保存されているパスワードとユーザーに送ったチャレンジデータを合成する。双方の結果を照合して認証する方式だ。

生体情報を用いるケースは？

　所持情報による多要素認証では、やはりモノを携帯していなければならないことと、ひと手間かかるところが課題だ。そこで自分の体の特徴を利用しようというものが生体情報による認証システムだ。

　例えば、指紋認証や静脈認証は銀行ATMなどでも使われており、高い精度で本人を識別できる。最近では、多くのスマホに指紋センサーが搭載されていて、一部のサービスではこれを使った認証が始まっている。このほか、スマホのカメラを使った虹彩認証も実用化されている。

　2015年はパスワードレスなオンライン認証のための技術仕様の標準化を提唱する国際非営利団体「FIDO Alliance」の日本上陸が話題になっている。マイクロソフト、Google、Qualcomm、ARMなど世界約200社が加盟しており、新しい認証方式「FIDO」の標準化が進みそうだ。既にNTTドコモがFIDO対応のサービスを実施している。

　以上、今回はパスワードリスト攻撃とそれによる不正ログインの動向をあらためて紹介するとともに、有効な対策としての多要素認証について紹介した。ID/パスワードだけの認証の限界をカバーするのは、上述のような多要素認証をプラスしていくのが最も有効な対策になる。自社でオンラインサービスを提供されている場合には、ユーザーからの信頼を得ると同時にリスクマネジメントにもなる多要素認証の実装を、本気で検討すべき時代になってきた。