認証に関する用語解説・資料 の変更点
Top/認証に関する用語解説・資料
- 追加された行はこの色です。
- 削除された行はこの色です。
- 認証に関する用語解説・資料 へ行く。
- 認証に関する用語解説・資料 の差分を削除
#author("2020-08-19T16:08:00+09:00","","") #author("2020-11-11T14:50:58+09:00","","") [[・電子認証について]] *パスワード認証に関するガイダンス [#k014502e] パスワード認証に関するガイダンスは多数あり、さまざまな見解が公表されています。 |200|80|60|100|150|70|150|c |タイトル|桁数|辞書検査|複雑さ|定期変更|使いまわし|多要素|h |COLOR(WHITE):BGCOLOR(#44546A):CENTER:タイトル|COLOR(WHITE):BGCOLOR(#44546A):CENTER:桁数|COLOR(WHITE):BGCOLOR(#44546A):CENTER:辞書検査|COLOR(WHITE):BGCOLOR(#44546A):CENTER:複雑さ|COLOR(WHITE):BGCOLOR(#44546A):CENTER:定期変更|COLOR(WHITE):BGCOLOR(#44546A):CENTER:使いまわし|COLOR(WHITE):BGCOLOR(#44546A):CENTER:多要素|h |[[内閣サイバーセキュリティセンター インターネットの安心・安全ハンドブック:https://www.nisc.go.jp/security-site/files/handbook-all.pdf]]|10桁以上|ー|英大小数字記号|必要なし、流出時に速やかに変更|不可|推奨| |[[総務省 国民のための情報セキュリティサイト:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html]]|適切な長さ|推奨|英数|必要なし、流出時に速やかに変更|不可|ー| |[[IPA 今、パスワードが危ない!チョコっとプラス パスワード:https://www.ipa.go.jp/chocotto/pw.html]]|8文字以上|推奨|英大小数字記号|ー|不可|ー| |[[NIST SP800-63B Digital Identity Guidelines:https://www.jipdec.or.jp/sp/topics/event/u71kba0000009o56-att/nist_sp_800-63b.pdf]]|8文字以上|必須|不要|不要|不可|システム特性に応じて必須| |[[OWASP Application Security Verification Standard V4:https://owasp.org/www-project-application-security-verification-standard/]]|12文字以上|必須|不要|不要|不可|システム特性に応じて必須| |[[国防総省 STIG Windows Server 2016:https://www.stigviewer.com/stig/windows_server_2016/]]|15文字以上|必須|英大小数字記号|60日以下|不可|必須| |[[Microsoft Password Guidance:https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf]]|8文字以上|必須|不要|不要|不可|必須| |[[Google 強力なパスワードとより安全なアカウントを作成する:https://support.google.com/accounts/answer/9094506]]|8文字以上|推奨|許容|ー|不可|ー| &br; *用語解説 [#t8aa68a5] -''アクティブ認証(Active Authentication)'':~ ユーザーの操作を必要とする認証方式。USBトークン、ワンタイムパスワードデバイス・ソフト、生体認証などのユーザーが所有し管理しているAuthenticatorを使い、正当なユーザーかを判断する。~ ユーザーの操作が必要で、Authenticator内の秘密の値を検証者(Verifier)側で検証し処理が完結する。~ 内部統制でいう、予防的なコントロールに基づく認証。 -''申請者(Claimant)'':~ 1 つ以上の認証プロトコルを使用して身元が確認される対象者。 -''多段階認証''~ 最初にパスワードやPIN(知識認証)などで認証を行い、それらが認証された場合にもう1つ別の要素を組み合わせて認証を行うことを二段階認証や2ステップ認証という。要素が3つ以上にわたる場合、「多段階認証」という。 -''多要素認証''~ 多要素認証は、認証要素の内2つ以上を使用した認証を指す。多要素認証であるスマートカードは、所有するスマートカードを端末に接続し、知識であるPINが整合することで、内部の秘密鍵へのアクセスが許可され、認証に供される。 -''単一要素認証''~ 認証要素のうち、一つの認証方式を使用する場合を指す。パスワード認証だけなら単一要素認証となる。 -''認証要素''~ 認証に用いる要素であり、知識(What you know)、所持(What you have)、生体( What you are) の三要素がある。パスワードは本人だけが知る知識要素である。 -''パッシブ認証(Passive Authentication)'':~ ユーザーの操作を必要としない認証方式。デバイスの種別、IPアドレス、ユーザーの振る舞い、生体情報などから、正当なユーザーかを判断する。ユーザーの操作は必要なく、検証者(Verifier)側で処理が完結する。~ 内部統制でいう、発見的なコントロールに基づく認証。予防的コントロールを強化するために使用されることが多い。 -''Authenticator'':~ 申請者が所有し、管理しているもの(認証子:通常は暗号モジュールまたはパスワード)で、申立人のIDを認証するために使用される。 -''Verifier'':~ 認証プロトコルを使用して、1 つまたは 2 つの認証子の所有および管理を確認することで、 申請者の身元を検証するシステムおよび組織。