6 tips for user authentication

2014-08-27居潟陽平

　ﾋ ﾞ ｰ ﾝ ｱ ｲ ﾃ ﾞ ｱ

豆知識のコーナー

① パスワード文字列の強化パスワードは8 文字以上、英小文字、英大文字、数字が基本！( できれば記号も含める )

コンピュータウイルス・不正アクセスの届出状況[2008 年 9 月分および第 3 四半期 ] について より抜粋ref. http://www.ipa.go.jp/security/txt/2008/10outline.html

2008 年時点でも6 桁はもう無理だろう

やはり記号を入れるのもルール化したい圧倒的な強さ！

おそらくシステム側に弱いパスワードリストがあるのだろう。“Password” を指定したら蹴られてしまう

“Password” が通るしかも安全性 : 中ですって奥様

② CAPTCHA

音声で再生する機能付き

パズルみたいな亜種もあるがアクセシビリティは更に劣悪になる

➂ 二段階認証

スマホにアプリを入れるソフトウェアトークン型

SMS や電話通話でワンタイムパスを届ける型

旧来のトークン型も結構お安くなりました

④ PIN コード

入出金などの危険な操作を行う際に簡単なパスワードを入力させる

➄ メールや SMS による通知・承認

ログインや入出金が発生する際にメールで通知が届く

システムによってはメールに書かれた承認 URL を叩かないと実行されない物もアリ

➅ アカウントアクティビティの表示

ログインした端末や回線の情報

設定値の変更前後の値も出る

強制的に他のログインを切る機能

怪しい操作やログインがあったら警告メールを送る機能

セッションの有効期限を明示的に指定できる

お　わ　 り

Ende

どのシステムでどの操作を行ったかまでも追跡できる