ヤフー、フィッシング防止に有効なパスワード相互認証プロトコルを開発

 ヤフーはこのほど、産業技術総合研究所とウェブ利用に適したパスワード相互認証プロトコルを開発したと発表した。

 このプロトコルは、「PAKE(Password Authenticated Key Exchange)」と呼ばれる方式のひとつであるISO/IEC 11770-4のプロトコルを基盤として設計したもの。ユーザーにとっては、使い慣れたIDとパスワードを利用するだけでよく、サービス提供者はユーザーに新たな負担を強いることなく導入できる相互認証方式となっている。

 この方式では、ユーザーが入力したパスワードは乱数を用いて暗号学的に加工されてサーバに送信され、一方サーバ側は、そのユーザーのパスワードとして事前に登録されている情報を加工してユーザーのコンピューターに返す。ユーザー側でも、そのサーバが自分のパスワードを過去に登録したサーバであるかを検証することが特徴となっている。

 また、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用することで、フィッシング防止にも有効となる。偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもない。さらに、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応し被害を防止します。

 ヤフーでは、これまでにプロトコル仕様の設計を終え、この技術を実装したサーバモジュールとブラウザ拡張機能を試作している。2007年度中に「Yahoo! オークション」上での実証実験を行い、実際の運用に耐え得る仕組みであることを検証する。今後、本プロトコル仕様のRFC化に向けた手続きとしてインターネットドラフトを起草し、将来的にはオープンソースコミュニティにソースコードを提供して、ウェブにおけるパスワード相互認証の技術標準としての確立を目指す考えだ。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]