パスワード以外の認証方式の課題 のバックアップの現在との差分(No.2)

• バックアップ一覧
• ソース を表示
• バックアップ を表示
• パスワード以外の認証方式の課題 は削除されています。
  • 1 (2020-07-24 (金) 13:42:31)
  • 2 (2020-07-24 (金) 16:03:02)
  • 3 (2020-07-29 (水) 11:32:36)
  • 4 (2020-07-30 (木) 13:18:37)
  • 5 (2020-08-10 (月) 15:29:35)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-07-24T16:03:02+09:00","","")
[[・パスワードについて]]

パスワード以外の認証方式の注意事項を解説します。
*スマートカードログオン [#i7f6e94a]
スマートカードは多要素認証の代表格であり、単一認証に比べればはるかに強固な認証ソリューションを提供します。スマートカード（所有）とPIN（知識）という組み合わせが必要なため、たとえPINが漏洩してもスマートカードがなければ攻撃が成功しないとされています。~
しかし、スマートカードログオンでも、Windowsの場合はNTLMハッシュを生成されることから、NTLMハッシュを悪用する[[Pass The Hash攻撃>・Pass the Hash]]に対して万全という事はいえません。NTLMハッシュが窃取されてしまえばスマートカードがなくてもログオンは成功します。従って、スマートカードアカウントの定期的なハッシュのローテーションは必須であり、Credential Guard などのソリューションを組み合わせることで、NTLMハッシュを保護しなければ、期待される効果が発揮されません。~
また、紛失や盗難があった場合、スマートカード再発行までの期間、代替の認証方式を用意する必要があり、また、安全な物理的配布と本人確認などの課題があります。~
自営で認証局 (CA) を保有する場合、ルート認証局が署名した中間認証局から証明書を発行し、ルート認証局の秘密鍵はハードウェア・セキュリティ・モジュール (HSM) に保管し、オフラインにしておくなど管理が必要です。~


*生体認証 [#j58b9147]
生体認証は顏、指紋、静脈などの生体情報を使った認証であり、スマートカード（所有）やハードウェアワンタイムパスワード（所有）に比べて持ち歩く必要がなく、紛失や盗難などが起こらないというメリットがあります。しかし、生体情報が漏洩した場合、代替が困難なことから、認証側での生体情報の保持を厳重にする必要があります。また、生体認証は誤認識による他人認識や本人拒否があり、確率的な認証方式といえます。重要な情報資産を操作する際に決定的でなく、確率的であるとことは、他の要素との組み合わせが必須であることから、知識や所有との組み合わせが必須となってきます。~
但し、本人確認の上で引き渡されたスマートフォン（所有）と顔認証（生体）とPIN（知識）は強固であり、今後、普及が進むと考えられます。
|120||c
|脆弱性|概要|h
|他人受け入れ|自分の生体情報をそのまま提示した場合、他の利用者として偶然受け入れられてしまう。|
|狼(wolf)|複数のテンプレートに対して、高確率で他人受入を可能にする生体情報を有する利用者（狼）が存在する。|
|子羊(lamb)|複数の生体情報に対して、高確率で他人受入を可能にするテンプレートを有する利用者（子羊）が存在する。|
|類似性|双子等、類似の生体情報を有する人が複数存在してしまう。|
|偽生体情報|生体情報を物理的に偽造し、それが受け入れられてしまう。|
|公開|生体情報が本人の同意なく容易に他人の手に渡ってしまう。|
|推定|テンプレートや照合結果が生体情報推定の手掛かりとなる。|
|利用者状態|被認証者の生体情報が自身の事情で変化し、システムに受け入れられない。また、そうした品質の劣る生体情報を登録することによって、他者になりすましされてしまう。|
|入力環境|被認証者の生体情報の読取データが環境要因で変化し、システムに受け入れられない。また、そうした品質の劣る生体情報を登録することによって、他者になりすましされてしまう。|
|認証パラメーター|不適切な認証パラメータの設定によって他人受入の可能性が高まる。|
出典：生体認証システムの脆弱性の分析と生体検知技術の研究動向 : https://www.imes.boj.or.jp/research/papers/japanese/kk28-3-4.pdf
*パターン認証 [#t48ac8d4]
パターン認証は、ショルダーハッキングに弱く、ポイント数が少ない場合、PINに比べて脆弱であるとの研究があります。~
https://dl.acm.org/doi/abs/10.1145/3027063.3053221~
http://www.math.sci.hiroshima-u.ac.jp/~saito/authen/authen-dup-j1.pdf~
また、規則的なパターンの使用を禁止させ、セルの偏りが少なくなるような工夫が推奨されています。~
https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=163770&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8~

*RADIUS 認証、LDAP 認証 [#obdace57]
VPN 装置と Active Directory との認証連携などでは RADIUS 認証や LDAP 認証が利用されますが、RADIUS、LDAP は基本的に平文であることから、認証情報がキャプチャされる可能性があります。前者ではEAP-TLS、後者は LDAPS を使ったTLSによる暗号化が必要です。