ここから本文です

マイナンバーカードはどうやって認証してる? 意外と知らない「所有物認証」のハナシ

5/17(金) 7:00配信

ITmedia NEWS

 ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。

所有物認証の「TOTP」とは?

 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

本題の前に「パスワードの平文保存」の続報

 前回記事の冒頭で紹介した「パスワードデータを平文保存しているサービスがある」問題の続報です。昨日、フィッシング対策協議会が行った発表「インターネットサービス提供事業者に対する 『認証方法』 に関するアンケート調査結果 (速報)」にて、以下のような記述がありました。

「大部分の回答者が質問に 「はい (パスワードを読めない状態で管理している)」 と答える一方、13.6% の回答者が 「いいえ」 と回答しており、パスワードを 「平文」、つまりそのままの状態で管理していると思われます」(引用)

 この「13.6%」という数字を見て、私は「えっ、まだこんなにあるの!?」と驚きましたが、これは末席ながら私がセキュリティ界隈にいるからなのでしょうか。JPCERTコーディネーションセンターの2018年の発表にあるような、「実際に使用しているパスワードが記載された脅迫メール」が出回るわけだ、と納得してしまいました。

 利用者の皆さまは、「パスワードの使い分け」を実施しましょう。使い分けておけば、漏えいした場合も脅迫メールを通じてどこから情報が漏れたかが分かるかもしれません(皮肉なことですが)。パスワードデータ平文保存にお心当たりのあるサービス事業者の方は、難読化処理の導入をお勧めします。

 このようなパスワード認証が抱える課題への対策の1つが「二段階認証」です。前回は、所有物認証の中でも、二段階認証を導入しているインターネットサービスの多くが二段階目の認証として採用している「所有物認証」の各方式について紹介いたしました。

 今回は前回紹介しきれなかった所有物認証の方式と、認証に使うデジタルな所有物「電子証明書」の仕組みについて紹介いたします。

1/5ページ

最終更新:5/17(金) 7:00
ITmedia NEWS

こんな記事も読まれています

あなたにおすすめの記事