2022年度 No.1「パスワードに頼り切らない認証方法とは」

2022.9.1

要旨

• アクセス管理に用いられるID・パスワードを狙う攻撃は様々あり、その設定にはいくつかの推奨事項があるが、適切に設定されないといったIT統制上の課題がある。
• 多要素認証とは、知識認証、所有物認証、生体認証のいずれか複数の認証を行い、定められた全ての要素が揃うことで認証に成功する仕組みである。
• 本稿では、アクセス管理の一要素である識別・認証・認可の役割と、よりセキュアな認証を実現する多要素認証について説明する。

1. ID・パスワード管理の課題

インターネットを介したサイバー空間は、世界中の誰でも・どこからでも利用できる公共財の一つであり、いつでも・どこからでも欲しい情報にアクセスできる利便性をもたらす一方で、秘匿にしておきたい機密情報や個人情報などといった重要情報が想定しない第三者から閲覧される可能性がある。

秘匿にしておきたい重要情報へのアクセス管理の役割を担っているのがIDとパスワードであるが、ひとたびパスワード情報が悪意ある攻撃者に知られると、重要情報を盗取するといったサイバー攻撃の起点とされるおそれがある。

例えば、リスト型攻撃¹や辞書攻撃²、総当たり攻撃³など、パスワードの盗取を目的とした攻撃手法は様々存在しており、複数の異なるサービス間において使い回されているパスワードや、誕生日や氏名で構成される推測が容易なパスワードはかかる攻撃によって攻撃者に盗取される可能性が高い。

会員登録で レポートを全て見る

会員登録してダウンロード