パスワード以外の認証方式の課題 のバックアップ(No.2)
- バックアップ一覧
- ソース を表示
- パスワード以外の認証方式の課題 は削除されています。
- 1 (2020-07-24 (金) 13:42:31)
- 2 (2020-07-24 (金) 16:03:02)
- 3 (2020-07-29 (水) 11:32:36)
- 4 (2020-07-30 (木) 13:18:37)
- 5 (2020-08-10 (月) 15:29:35)
・パスワードについて?
パスワード以外の認証方式の注意事項を解説します。
スマートカードログオン †
スマートカードは多要素認証の代表格であり、単一認証に比べればはるかに強固な認証ソリューションを提供します。スマートカード(所有)とPIN(知識)という組み合わせが必要なため、たとえPINが漏洩してもスマートカードがなければ攻撃が成功しないとされています。
しかし、スマートカードログオンでも、Windowsの場合はNTLMハッシュを生成されることから、NTLMハッシュを悪用するPass The Hash攻撃に対して万全という事はいえません。NTLMハッシュが窃取されてしまえばスマートカードがなくてもログオンは成功します。従って、スマートカードアカウントの定期的なハッシュのローテーションは必須であり、Credential Guard などのソリューションを組み合わせることで、NTLMハッシュを保護しなければ、期待される効果が発揮されません。
また、紛失や盗難があった場合、スマートカード再発行までの期間、代替の認証方式を用意する必要があり、また、安全な物理的配布と本人確認などの課題があります。
自営で認証局 (CA) を保有する場合、ルート認証局が署名した中間認証局から証明書を発行し、ルート認証局の秘密鍵はハードウェア・セキュリティ・モジュール (HSM) に保管し、オフラインにしておくなど管理が必要です。
生体認証 †
生体認証は顏、指紋、静脈などの生体情報を使った認証であり、スマートカード(所有)やハードウェアワンタイムパスワード(所有)に比べて持ち歩く必要がなく、紛失や盗難などが起こらないというメリットがあります。しかし、生体情報が漏洩した場合、代替が困難なことから、認証側での生体情報の保持を厳重にする必要があります。また、生体認証は誤認識による他人認識や本人拒否があり、確率的な認証方式といえます。重要な情報資産を操作する際に決定的でなく、確率的であるとことは、他の要素との組み合わせが必須であることから、知識や所有との組み合わせが必須となってきます。
但し、本人確認の上で引き渡されたスマートフォン(所有)と顔認証(生体)とPIN(知識)は強固であり、今後、普及が進むと考えられます。
脆弱性 | 概要 |
他人受け入れ | 自分の生体情報をそのまま提示した場合、他の利用者として偶然受け入れられてしまう。 |
狼(wolf) | 複数のテンプレートに対して、高確率で他人受入を可能にする生体情報を有する利用者(狼)が存在する。 |
子羊(lamb) | 複数の生体情報に対して、高確率で他人受入を可能にするテンプレートを有する利用者(子羊)が存在する。 |
類似性 | 双子等、類似の生体情報を有する人が複数存在してしまう。 |
偽生体情報 | 生体情報を物理的に偽造し、それが受け入れられてしまう。 |
公開 | 生体情報が本人の同意なく容易に他人の手に渡ってしまう。 |
推定 | テンプレートや照合結果が生体情報推定の手掛かりとなる。 |
利用者状態 | 被認証者の生体情報が自身の事情で変化し、システムに受け入れられない。また、そうした品質の劣る生体情報を登録することによって、他者になりすましされてしまう。 |
入力環境 | 被認証者の生体情報の読取データが環境要因で変化し、システムに受け入れられない。また、そうした品質の劣る生体情報を登録することによって、他者になりすましされてしまう。 |
認証パラメーター | 不適切な認証パラメータの設定によって他人受入の可能性が高まる。 |
出典:生体認証システムの脆弱性の分析と生体検知技術の研究動向 : https://www.imes.boj.or.jp/research/papers/japanese/kk28-3-4.pdf
パターン認証 †
パターン認証は、ショルダーハッキングに弱く、ポイント数が少ない場合、PINに比べて脆弱であるとの研究があります。
https://dl.acm.org/doi/abs/10.1145/3027063.3053221
http://www.math.sci.hiroshima-u.ac.jp/~saito/authen/authen-dup-j1.pdf
また、規則的なパターンの使用を禁止させ、セルの偏りが少なくなるような工夫が推奨されています。
https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=163770&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8
RADIUS 認証、LDAP 認証 †
VPN 装置と Active Directory との認証連携などでは RADIUS 認証や LDAP 認証が利用されますが、RADIUS、LDAP は基本的に平文であることから、認証情報がキャプチャされる可能性があります。前者ではEAP-TLS、後者は LDAPS を使ったTLSによる暗号化が必要です。