トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

認証に関する用語解説・資料 のバックアップ(No.5)


・電子認証について

パスワード認証に関するガイダンス

パスワード認証に関するガイダンスは多数あり、さまざまな見解が公表されています。

タイトル桁数辞書検査複雑さ定期変更使いまわし多要素
内閣サイバーセキュリティセンター インターネットの安心・安全ハンドブック10桁以上英大小数字記号必要なし、流出時に速やかに変更不可推奨
総務省 国民のための情報セキュリティサイト適切な長さ推奨英数必要なし、流出時に速やかに変更不可
IPA 今、パスワードが危ない!チョコっとプラス パスワード8文字以上推奨英大小数字記号不可
NIST SP800-63B Digital Identity Guidelines8文字以上必須不要不要不可システム特性に応じて必須
OWASP Application Security Verification Standard V412文字以上必須不要不要不可システム特性に応じて必須
国防総省 STIG Windows Server 201615文字以上必須英大小数字記号60日以下不可必須
Microsoft Password Guidance8文字以上必須不要不要不可必須
Google 強力なパスワードとより安全なアカウントを作成する8文字以上推奨許容不可


用語解説

  • アクティブ認証(Active Authentication)
    ユーザーの操作を必要とする認証方式。USBトークン、ワンタイムパスワードデバイス・ソフト、生体認証などのユーザーが所有し管理しているAuthenticatorを使い、正当なユーザーかを判断する。
    ユーザーの操作が必要で、Authenticator内の秘密の値を検証者(Verifier)側で検証し処理が完結する。
    内部統制でいう、予防的なコントロールに基づく認証。
  • 申請者(Claimant)
    1 つ以上の認証プロトコルを使用して身元が確認される対象者。
  • 多段階認証
    最初にパスワードやPIN(知識認証)などで認証を行い、それらが認証された場合にもう1つ別の要素を組み合わせて認証を行うことを二段階認証や2ステップ認証という。要素が3つ以上にわたる場合、「多段階認証」という。
  • 多要素認証
    多要素認証は、認証要素の内2つ以上を使用した認証を指す。多要素認証であるスマートカードは、所有するスマートカードを端末に接続し、知識であるPINが整合することで、内部の秘密鍵へのアクセスが許可され、認証に供される。
  • 単一要素認証
    認証要素のうち、一つの認証方式を使用する場合を指す。パスワード認証だけなら単一要素認証となる。
  • 認証要素
    認証に用いる要素であり、知識(What you know)、所持(What you have)、生体( What you are) の三要素がある。パスワードは本人だけが知る知識要素である。
  • パッシブ認証(Passive Authentication)
    ユーザーの操作を必要としない認証方式。デバイスの種別、IPアドレス、ユーザーの振る舞い、生体情報などから、正当なユーザーかを判断する。ユーザーの操作は必要なく、検証者(Verifier)側で処理が完結する。
    内部統制でいう、発見的なコントロールに基づく認証。予防的コントロールを強化するために使用されることが多い。
  • Authenticator
    申請者が所有し、管理しているもの(認証子:通常は暗号モジュールまたはパスワード)で、申立人のIDを認証するために使用される。
  • Verifier
    認証プロトコルを使用して、1 つまたは 2 つの認証子の所有および管理を確認することで、 申請者の身元を検証するシステムおよび組織。