logo

パスワードとのつきあい方--デジタル時代の「頭痛の種」と向かい合う - (page 3)

文:Elinor Mills(CNET News.com)
翻訳校正:ラテックス・インターナショナル
2008年07月28日 07時00分
  • このエントリーをはてなブックマークに追加

 「LogOnce Toolbar」はInternet Explorer対応の無料のパスワードマネージャプラグインで、情報をローカルまたはリモートサーバに格納し、さまざまなコンピュータからパスワードにアクセスできるようにする。

 パスワードを入力する代わりに画像をクリックするグラフィカル認証システムは当初楽観視されていたが、実装数はあまり多くない。通りすがりにユーザーが画面上で何をしているか見るショルダーサーフィンに対して脆弱であることが、その一因かもしれない。

 Microsoftはまだグラフィカルパスワードをあきらめていない。同社が資金を提供している、ニューキャッスル大学の携帯端末でのグラフィカル認証の研究チームは2007年、グラフィカル認証は一般的なテキスト形式のパスワードより1000倍安全で、覚えやすいことが判明したと発表した。テストでは、ユーザーが画像を描くと、ペンの動きや持ち上げ回数がソフトウェアによって記憶された。

 また、Microsoftは、ユーザーが強力なパスワードを選択、記憶、識別できる「インクブロット認証」なるものの研究も行っている。

 パスワード認証を使っているBank of AmericaとYahooはグラフィカルシステムを併用している。サイトが本当にBank of America、Yahooのものであることを証明する手段を提供して利用者をフィッシング攻撃から守ることが、その主な目的である。Yahooのログインシールプログラムでは、ユーザーが個別に写真または画像を指定でき、サイトにログインするたびにその写真または画像が表示される。

 Bank of Americaの「SiteKey」システムでは、利用者が一連の画像の中から画像を選ぶと、ログインするたびにその画像が表示される。しかし、研究では、SiteKeyシステムはいわゆる「中間者」攻撃には脆弱であることが判明している。

 パスワードは最も一般的な認証方法で、認証された人物が知っているはずの秘密の情報を自分が知っているということをシステムに証明するために使われる。使うべきではないパスワード(ペットの名前など)を、「最初に飼ったペットの名前は?」「母親の旧姓は?」といった、セキュリティを強化するためにサイトが尋ねるチャレンジレスポンス認証の質問と混同してはならない。

 また、スマートカードなど自分の所有物やワンタイムパスワードを提供するランダムな数値を生成するトークンなどをパスワードと組み合わせた二重認証システムもある。さらには、指紋、声紋、虹彩スキャン、さらにはキー入力解析といったバイオメトリクスを含む三重認証システムも存在する。これらは利用者が誰であるかを証明するために考案されたものだ。

 指紋読み取り機は一部のノートPCに搭載されているが、実装コストや消費者向け用途に対する需要の低さから、バイオメトリクスがすぐに主流になることはないだろうと専門家は述べている。

 しかし、トークンは少しずつ導入が増えている。コスト(ユーザー1人当たり約40ドル)、インフラのニーズから、企業を中心に導入が進み、ユーザーがオンライン活動にいら立ち、不安を募らせるにつれて、トークンへの関心が高まっている。たとえば、アカウントの乗っ取りなどのセキュリティ上の問題に関する苦情から、「World of Warcraft」のメーカーは最近、このオンラインRPGのファンのために、セキュリティを強化する電子トークンを6.50ドルで提供し始めた。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]