パスワード以外の認証方式の課題 の変更点
Top/パスワード以外の認証方式の課題
- 追加された行はこの色です。
- 削除された行はこの色です。
- パスワード以外の認証方式の課題 は削除されています。
- パスワード以外の認証方式の課題 の差分を削除
#author("2020-07-30T13:18:37+09:00","","") [[・パスワードについて]] #author("2020-08-10T15:29:35+09:00","","") パスワード以外の認証方式に関する課題、脆弱性を解説します。 *スマートカードログオン [#i7f6e94a] スマートカードは多要素認証の代表格であり、単一認証に比べればはるかに強固な認証ソリューションを提供します。スマートカード(所有)とPIN(知識)という組み合わせが必要なため、たとえPINが漏洩してもスマートカードがなければ攻撃が成功しないとされています。~ しかし、スマートカードログオンでも、Windows の場合は NTLM ハッシュを生成されることから、NTLM ハッシュを悪用する[[Pass The Hash攻撃>・Pass the Hash]]に対して万全ではありません。NTLM ハッシュが窃取されてしまえばスマートカードがなくてもログオンは成功します。従って、スマートカードアカウントの定期的なハッシュのローテーションは必須であり、Credential Guard などのソリューションを組み合わせることで、NTLMハッシュを保護しなければ、期待される効果が発揮されません。~ また、紛失や盗難があった場合、スマートカード再発行までの期間は代替の認証方式を用意する必要があり、安全な物理的配布と本人確認など運用面での課題があります。~ 自営で認証局 (CA) を保有する場合、ルート認証局が署名した中間認証局から証明書を発行したうえで、ルート認証局の秘密鍵をハードウェア・セキュリティ・モジュール (HSM) に保管し、オフラインにしておくなど管理が必要です。~ *生体認証 [#j58b9147] 生体認証は顏、指紋、静脈などの生体情報を使った認証であり、スマートカード(所有)やハードウェアワンタイムパスワード(所有)に比べて持ち歩く必要がなく、紛失や盗難などが起こらないというメリットがあります。しかし、生体情報が漏洩した場合、代替が困難なことから、認証側での生体情報の管理を厳重にする必要があります。また、生体認証は誤認識による他人受入や本人拒否の可能性があり、確率に基づく認証方式といえます。ゆえに重要な情報資産を扱う場合は(知識)や(所有)など、他の要素との組み合わせが必須となってきます。~ 但し、本人確認の上で引き渡されたスマートフォン(所有)と生体認証(顏等)と PIN(知識)は強固であり、今後、普及が進むと考えられます。 |120||c |脆弱性|概要|h |他人受け入れ|自分の生体情報をそのまま提示した場合、他の利用者として偶然受け入れられてしまう。| |狼(wolf)|複数のテンプレートに対して、高確率で他人受入を可能にする生体情報を有する利用者(狼)が存在する。| |子羊(lamb)|複数の生体情報に対して、高確率で他人受入を可能にするテンプレートを有する利用者(子羊)が存在する。| |類似性|双子等、類似の生体情報を有する人が複数存在してしまう。| |偽生体情報|生体情報を物理的に偽造し、それが受け入れられてしまう。| |公開|生体情報が本人の同意なく容易に他人の手に渡ってしまう。| |推定|テンプレートや照合結果が生体情報推定の手掛かりとなる。| |利用者状態|被認証者の生体情報が自身の事情で変化し、システムに受け入れられない。また、そうした品質の劣る生体情報を登録することによって、他者になりすましされてしまう。| |入力環境|被認証者の生体情報の読取データが環境要因で変化し、システムに受け入れられない。また、そうした品質の劣る生体情報を登録することによって、他者になりすましされてしまう。| |認証パラメーター|不適切な認証パラメータの設定によって他人受入の可能性が高まる。| 出典:生体認証システムの脆弱性の分析と生体検知技術の研究動向 : https://www.imes.boj.or.jp/research/papers/japanese/kk28-3-4.pdf *パターン認証 [#t48ac8d4] パターン認証は、ショルダーハッキングに弱く、ポイント数が少ない場合、PINに比べて脆弱であるとの研究があります。~ https://dl.acm.org/doi/abs/10.1145/3027063.3053221~ http://www.math.sci.hiroshima-u.ac.jp/~saito/authen/authen-dup-j1.pdf~ また、規則的なパターンの使用を禁止させ、セルの偏りが少なくなるような工夫が推奨されています。~ https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=163770&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8~ *RADIUS 認証、LDAP 認証 [#obdace57] VPN 装置と Active Directory との認証連携などでは RADIUS 認証や LDAP 認証が利用されますが、RADIUS、LDAP によるネットワーク通信は基本的に平文で行われることから、認証情報がキャプチャされる可能性があります。前者ではEAP-TLS、後者は LDAPS を使ったTLSによる暗号化が必要です。