ユーザー名/パスワードを超えるセキュリティ?

Question 1

ダンが言ったように、複雑さを追加してもセキュリティは向上しません。要因認証のチェック2要素認証さまざまなソリューションのリストと実践に関する一般的な説明については、こちらをご覧ください。認証は主に 3 つのカテゴリに分類されます。

何かを持っている（キーフォブ、スマートカード、携帯電話）
何かを知っている（パスワード、デジタル証明書（非常に長いパスワードです！））
誰かになる（指紋、網膜指紋）

一般的には、少なくとも二前者は信頼できるセキュリティを実現するのに最も効果的です。重複は役に立ちません (パスワードが 2 つあっても 1 つより優れているわけではありません。キーフォブが 2 つあっても 1 つより優れているわけではありません)。パスワードをフィッシングすることはできますが、ローリングナンバーキーフォブでは使い勝手が制限されます。誰かをノックアウトして指紋を盗むことはできますが (ハリウッド映画のように)、その場合パスワードを入手することはできません。

キーフォブはユーザーのキーチェーン上の別のデバイスである必要はなく、単にコンピュータとは別のデバイスであり、パスワードが保存されている場所である必要がある。一度もない保存されます。スマートフォンは通常この要件を満たしており、ユーザーのスマートフォンで実行されるアプリケーションを開発できれば、コストをいくらか削減できる可能性があります。これは、企業がどの程度の規模の展開を必要としているかによって異なります。

また、あなたが崇拝する神への愛のためにパスワードの最大長を強制しません。

Answer

ダンが言ったように、複雑さを追加してもセキュリティは向上しません。要因認証のチェック2要素認証さまざまなソリューションのリストと実践に関する一般的な説明については、こちらをご覧ください。認証は主に 3 つのカテゴリに分類されます。

何かを持っている（キーフォブ、スマートカード、携帯電話）
何かを知っている（パスワード、デジタル証明書（非常に長いパスワードです！））
誰かになる（指紋、網膜指紋）

一般的には、少なくとも二前者は信頼できるセキュリティを実現するのに最も効果的です。重複は役に立ちません (パスワードが 2 つあっても 1 つより優れているわけではありません。キーフォブが 2 つあっても 1 つより優れているわけではありません)。パスワードをフィッシングすることはできますが、ローリングナンバーキーフォブでは使い勝手が制限されます。誰かをノックアウトして指紋を盗むことはできますが (ハリウッド映画のように)、その場合パスワードを入手することはできません。

キーフォブはユーザーのキーチェーン上の別のデバイスである必要はなく、単にコンピュータとは別のデバイスであり、パスワードが保存されている場所である必要がある。一度もない保存されます。スマートフォンは通常この要件を満たしており、ユーザーのスマートフォンで実行されるアプリケーションを開発できれば、コストをいくらか削減できる可能性があります。これは、企業がどの程度の規模の展開を必要としているかによって異なります。

また、あなたが崇拝する神への愛のためにパスワードの最大長を強制しません。

Question 2

最近ではインターネットにアクセスできるほとんどの場所で携帯電話が普及しているため、
携帯電話を第 2 のポイントとして使用する 2 要素認証メカニズムを導入することは非常に理にかなっています。

平Googleは最近その輪に加わった。

電話がつながらない場合や、モバイルの 2 番目の要素のシーケンスのタイムラグの間、顧客に待たせたくない場合があります。
これは、すでに特許を取得しているか、広く使用されている可能性のあるトリックです :-)
技術プレゼンテーションで、事前に顧客に送信されるワンタイムコードを使用するスキームを見たことを覚えています。利用可能なコードを使用すると、新しいコードが携帯電話に送信され、この送信が行われると以前のコードは期限切れになります。これは非常にシンプルで興味深いスキームでした。

2 要素認証や多要素認証によって、ユーザーがより適切に保護する方法を学習する強力なパスワードの重要性が減るわけではないことを知っておくことが重要です。

^{余談ですが、8 桁の認証シーケンスを刻むハードウェアフォブを紛失し、今ではそれほど重要ではないパスワードを人目につかない場所 (または財布の中) に置いたままにしていたという話を聞いたことがあります。つまり、2 要素認証では、人々は、いわゆる「卵を別のバスケットに分散している」という誤った安心感を覚えることがあるのです。}

Answer

最近ではインターネットにアクセスできるほとんどの場所で携帯電話が普及しているため、
携帯電話を第 2 のポイントとして使用する 2 要素認証メカニズムを導入することは非常に理にかなっています。

平Googleは最近その輪に加わった。

電話がつながらない場合や、モバイルの 2 番目の要素のシーケンスのタイムラグの間、顧客に待たせたくない場合があります。
これは、すでに特許を取得しているか、広く使用されている可能性のあるトリックです :-)
技術プレゼンテーションで、事前に顧客に送信されるワンタイムコードを使用するスキームを見たことを覚えています。利用可能なコードを使用すると、新しいコードが携帯電話に送信され、この送信が行われると以前のコードは期限切れになります。これは非常にシンプルで興味深いスキームでした。

2 要素認証や多要素認証によって、ユーザーがより適切に保護する方法を学習する強力なパスワードの重要性が減るわけではないことを知っておくことが重要です。

^{余談ですが、8 桁の認証シーケンスを刻むハードウェアフォブを紛失し、今ではそれほど重要ではないパスワードを人目につかない場所 (または財布の中) に置いたままにしていたという話を聞いたことがあります。つまり、2 要素認証では、人々は、いわゆる「卵を別のバスケットに分散している」という誤った安心感を覚えることがあるのです。}

Question 3

ハードウェアを除けば、ほとんどの追加セキュリティ対策は、ユーザーにパスワードを 1 つではなく 2 つ持つように指示するだけです。強力なパスワードを持っている限り、これは何の価値もありません。他の目的のための特定のセキュリティ対策もあります。たとえば、銀行の場合、最初にユーザー名を入力すると、選択した写真がポップアップ表示され、正しい Web サイトにいることが「証明」されます。しかし、これは、正当な Web サイトから私の写真を取得する不正な Web サイトによって簡単に破られます。

結局のところ、セキュリティを強化するためにソフトウェア側からできることは、（プレーンテキストのパスワードを保存しない、https を使用するなどの通常の手順を除いて）より強力なパスワードを強制すること以外にはないと思います。

そうは言っても、セキュリティを強化するためにできることはたくさんあります。たとえば、パスワードの入力だけでなく、セキュリティの質問に回答するという方法もあります。IP フィルタリングなどのソフトウェアを使用して実際のセキュリティを強化する方法はいくつかありますが、ほとんどの Web アプリケーションでは現実的ではありません。

あなたがおっしゃったように、キーフォブのようなハードウェアソリューションがいくつかあります。本当にセキュリティをさらに強化したいのであれば、これが最善の選択肢だと思います。

Answer