連載
» 2016年02月03日 05時00分 公開

なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説セキュリティ、いまさら聞いてもいいですか?(5)(4/4 ページ)

[増井敏克,@IT]
前のページへ 1|2|3|4       

IDとパスワードを使わない対策

銀行のATMの認証は、4桁の暗証番号だけですよね? コンピュータでもこのような認証はできないのでしょうか?


Windows 10のPINなど、似た仕組みも登場してきています。


 認証にIDとパスワードを使うという考え方は、コンピュータの世界では昔から一般的でした。しかし、最近は流れが少しずつ変わりつつあり、新しい仕組みも登場し始めてます。

 例えば、銀行のATMの認証について考えてみてください。「パスワードは複雑で長いものにするべきだ」という常識があるにも関わらず、ATMでは4桁の数字だけで預金を引き出すことができます。なぜなのでしょうか? それは、利用者が「キャッシュカードを持っている」からです。

 これと同じ考え方を採用しているのがWindows 10の「PIN」です。あるコンピュータにログインするということは、ユーザーが「そのコンピュータを持っている」ということです。つまり、コンピュータが盗まれない限りは、PINで十分なのです。

同じような考え方をネットワーク経由でも使えないのですか?


電子証明書方式を使った認証や、「FIDO」のような仕組みも登場してきています。


 銀行のサービスやレンタルサーバなどで使われつつあるのが「電子証明書」を使う方法です。電子証明書をコンピュータに事前にインストールしておくことで、そのコンピュータからのアクセスに限りログインできるようになります。電子証明書をインストールしていないコンピュータからはログインできないため、IDやパスワードの漏えいによるなりすましを防ぐことができます。

 また、近年では「FIDO」と呼ばれるパスワードに頼らない認証方式の普及も期待されています。これは、指紋などの生体情報を認証に使用し、できるだけパスワードを使わないことを目指す仕組みです。さまざまな認証方式の動向については、今後も注目していくようにしましょう。

第5回のまとめ

  • 攻撃者は、「盗み見」「ブルートフォース攻撃(総当たり攻撃)」「辞書攻撃」などのシンプルな方法に加え、「フィッシング」や「盗聴」などあらゆる方法でパスワードを盗もうとする
  • 大前提は「長く複雑なパスワードを使う」「複数のサービスでパスワードを使い回さない」こと
  • 「二要素/二段階認証」や、「ログインアラート」に対応しているサービスの場合、それらを設定するようにする
  • 電子証明書を使う方式や、FIDOなど、新しい認証方式の普及が進んでいる

増井敏克(ますい としかつ)(増井技術士事務所代表)

 技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。

 ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。

 また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。

 近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)がある。

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。