認証に関する用語解説・資料
Last-modified: 2020-11-11 (水) 14:50:58
Top/認証に関する用語解説・資料
パスワード認証に関するガイダンス †
パスワード認証に関するガイダンスは多数あり、さまざまな見解が公表されています。
タイトル | 桁数 | 辞書検査 | 複雑さ | 定期変更 | 使いまわし | 多要素 |
内閣サイバーセキュリティセンター インターネットの安心・安全ハンドブック | 10桁以上 | ー | 英大小数字記号 | 必要なし、流出時に速やかに変更 | 不可 | 推奨 |
総務省 国民のための情報セキュリティサイト | 適切な長さ | 推奨 | 英数 | 必要なし、流出時に速やかに変更 | 不可 | ー |
IPA 今、パスワードが危ない!チョコっとプラス パスワード | 8文字以上 | 推奨 | 英大小数字記号 | ー | 不可 | ー |
NIST SP800-63B Digital Identity Guidelines | 8文字以上 | 必須 | 不要 | 不要 | 不可 | システム特性に応じて必須 |
OWASP Application Security Verification Standard V4 | 12文字以上 | 必須 | 不要 | 不要 | 不可 | システム特性に応じて必須 |
国防総省 STIG Windows Server 2016 | 15文字以上 | 必須 | 英大小数字記号 | 60日以下 | 不可 | 必須 |
Microsoft Password Guidance | 8文字以上 | 必須 | 不要 | 不要 | 不可 | 必須 |
Google 強力なパスワードとより安全なアカウントを作成する | 8文字以上 | 推奨 | 許容 | ー | 不可 | ー |
用語解説 †
- アクティブ認証(Active Authentication):
ユーザーの操作を必要とする認証方式。USBトークン、ワンタイムパスワードデバイス・ソフト、生体認証などのユーザーが所有し管理しているAuthenticatorを使い、正当なユーザーかを判断する。
ユーザーの操作が必要で、Authenticator内の秘密の値を検証者(Verifier)側で検証し処理が完結する。
内部統制でいう、予防的なコントロールに基づく認証。
- 申請者(Claimant):
1 つ以上の認証プロトコルを使用して身元が確認される対象者。
- 多段階認証
最初にパスワードやPIN(知識認証)などで認証を行い、それらが認証された場合にもう1つ別の要素を組み合わせて認証を行うことを二段階認証や2ステップ認証という。要素が3つ以上にわたる場合、「多段階認証」という。
- 多要素認証
多要素認証は、認証要素の内2つ以上を使用した認証を指す。多要素認証であるスマートカードは、所有するスマートカードを端末に接続し、知識であるPINが整合することで、内部の秘密鍵へのアクセスが許可され、認証に供される。
- 単一要素認証
認証要素のうち、一つの認証方式を使用する場合を指す。パスワード認証だけなら単一要素認証となる。
- 認証要素
認証に用いる要素であり、知識(What you know)、所持(What you have)、生体( What you are) の三要素がある。パスワードは本人だけが知る知識要素である。
- パッシブ認証(Passive Authentication):
ユーザーの操作を必要としない認証方式。デバイスの種別、IPアドレス、ユーザーの振る舞い、生体情報などから、正当なユーザーかを判断する。ユーザーの操作は必要なく、検証者(Verifier)側で処理が完結する。
内部統制でいう、発見的なコントロールに基づく認証。予防的コントロールを強化するために使用されることが多い。
- Authenticator:
申請者が所有し、管理しているもの(認証子:通常は暗号モジュールまたはパスワード)で、申立人のIDを認証するために使用される。 - Verifier:
認証プロトコルを使用して、1 つまたは 2 つの認証子の所有および管理を確認することで、 申請者の身元を検証するシステムおよび組織。