認証の革命2

strongauthenticationブログ

前回掲載した「認証の革命」では、例えばオフィス等のドアを開けるために用いられる、物理的な鍵やスマートカードについて、それ自体では本人性の確認が欠けているという問題点を指摘しました。
またその問題は、普段持っているスマートフォンの生体認証機能を使えば解決でき、併せて利便性も向上できるという提案を行いました。今回は、私達がネットワークを介して日々利用している様々なサービスのユーザ認証において、一番利用者が多い「パスワード認証」について、どのような問題点があるのか、詳しく説明します。現在のパスワードによる認証システムには、様々な問題がありますが、今回は、正確性、利便性、機密性の三つの問題について説明します。

第5回:認証の革命2 説明図1

まず、正確性の問題について説明します。
認証は本人であることを確認するものなので、その正確性については、パスワードという「情報を知っている」というだけでは、そもそも十分ではないと考えられます。
利用者の生体情報を用いて、利用者本人であるということを確認する方が、正確性の点で優れていると考えられます。

第5回:認証の革命2 説明図2

次に、利便性の問題について説明します。
従来のIDとパスワードによる認証では、安全のために、利用するサービス毎にパスワードを変えることが前提となっています。
そのため、利用者はパスワードを多数保持し、覚えておかなければいけません。
これは、利用者に非常に負担をかけることになります。
この点でも、利用者の生体情報をそのまま認証に使えれば、負担はかなり軽減されます。

最後に、機密性の問題について説明します。
パスワードを認証に用いる場合、最も漏洩してはいけないのは、当然ながらパスワードそのものになりますが、パスワードの漏洩を伴う問題は、残念ながら日々発生しています。
その原因としては、大きく分けて二種類あり、一つは技術的なことが原因であるケースと、もう一つは利用者自身の間違った管理が原因であるケースと考えます。

まず、技術的な原因について説明します。
これは、主にシステムやネットワークの脆弱性が原因となってパスワード漏洩の問題を引き起こすというものです。
例えば、ユーザー認証にパスワードを用いる場合、一般的には、利用者が記憶しているパスワードと同じものをサービス側にも持っており、利用者が入力したパスワードを、サービス側に送信し、サービス側で保存されたパスワードと一致するかどうかを確認することで認証を行う、という認証方式があります。
もちろんサービス側では、パスワードは暗号化して保存されることが一般的です。
これは非常にシンプルであるため、インターネットサービスの提供者と利用者双方にとって理解しやすく、標準的な認証方式になりました。
しかし、パスワードを入力するPCに、キーロガーが仕込まれていたり、メモリやキャッシュなどからパスワードが漏洩する可能性もあります。
また、パスワードを送信するネットワーク上に、ネットワーク自体の脆弱性をついた盗聴者が潜んでいて、パスワードが漏洩する可能性もあります。

次に、利用者自身の間違った管理が原因になるケースについて説明します。
例えば、様々なサービスで、パスワードを多数保持することを強いられた利用者の中には、人によっては、覚えるのが大変なため、どこかにメモをしてしまうということがあります。
このメモを盗み見られたり、落としたりして、他人に見られてしまえば、やはりパスワードが漏洩する可能性があります。

このような問題を解決できるのが、『FIDO UAF』のような最新の生体認証方式だと考えます。『FIDO UAF』の詳細な説明については、技術的な情報を引用しながら、次回以降に記載いたします。

2018-06-20T11:14:34+09:002016.05.13|Categories: Strong Authentication ブログ|Tags: |