→セキュリティ関連
→Web技術関連
→クラウドコンピューティング
→※BASIC認証、フォーム認証については Webサーバ も参照
→メールの認証についてはEメール(SMTP/POPなど)へ
サブトピック†
認証一般†
- 2020年版 チーム内勉強会資料その1 : JSON Web Token 2020.6
- JSON Web Signatureという署名をつける仕組みを利用することで改ざん検知が可能になります。JSON Web Encryptionという暗号化を施すことにより、センシティブなデータのやりとりが可能になります。 この2つのうち、よく使われているのを見かけるのがJSON Web Signatureの方
- 認証=Authentication … ユーザが誰であるかを確認すること
- 認可(=承認=許可)=Authorization … ユーザが何をできるかの権限を与えること
- クレデンシャル情報の種類
| 知識情報(知識要素) | 所持情報(所持要素) | 生体情報(生体要素) |
概要 | ユーザーが知っている情報 | ユーザーが持っている物の情報 | ユーザー自身の生得的、生物的な情報 |
例 | パスワード、秘密の質問、Androidのロックパターン | PC、スマホ、USBセキュリティキー | 指紋、網膜、声紋、歩行パターン、タイピングの癖 |
- MFA(多要素認証)はこれらの情報のうち複数を用いて認証すること。多段認証の一種。
- 多段認証は認証に用いる要素を限定せず複数の段階を経て認証すること
パスワードレス認証/FIDO†
- パスワードレス認証 … パスワード以外の情報を用いた認証。多くの場合生体認証を指すことが多い
パスキー†
- パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 - GIGAZINE 2023.7
- パスワードだけでなくIDの入力も不要にすることが可能ですが、鍵の保存スペースを確保する必要があります。ブラウンさんによると、ハードウェア認証デバイスにおいて鍵の保存スペースは非常に貴重とのこと。例えばYubiKeyの場合、20個から32個の鍵しか保存することができません。
- 「ユーザー名やIDすら入力しなくて良くなる」というメリットが注目されてクライアント側に鍵を保存する方式が主流になっており、ハードウェア認証デバイスの容量が足りなくなる恐れがあるとブラウンさんは指摘しています。ブラウンさんのパスワードマネージャーには150を超えるサイトのパスワードが保存されており、仮に全てのサイトがパスキーに対応した場合、ブラウンさんは5個のYubiKeyを追加で購入する必要がでてくるわけです。しかも、認証するサイトごとに対応するYubiKeyに交換する必要があり、とても「使える」とは言えない状態になってしまいます。
- 「パスキー」って一体何だ? パスワード不要の世界がやってくる(1/4 ページ) - ITmedia NEWS 2023.1
- 生体認証をすればそのままログインが完了する」のがパスキーの世界だ。そこには、IDとして使われるメールアドレスと、生体認証を行う自分のデバイスがあれば、パスワードを覚えておく必要はない。基本的にはSMSで飛んでくる2要素認証も不要だ。
- パスキーが一般的になると、ユーザー登録時にパスワードを設定する必要もなく、一度登録したらパスワードを覚える必要もない。ただ生体認証をするだけでログインできる世界がやってくる。
- パスキーは、パスワードを使わない認証方式を検討する業界団体「FIDO Alliance」が仕様を策定した技術。
- Web技術の標準化団体であるW3Cも協力していて、端的にいえば「FIDO2」「WebAuthn」「パスキー」という3つの技術を組み合わせたものだ。
- FIDO2は公開鍵暗号方式を用いた生体認証を使うパスワードレスの認証方式で、それをWebで利用するための仕様がWebAuthn、そしてその資格認証情報をクラウド経由で同期する仕組みがパスキー(狭義)だ。
- この仕組み全体を「パスキー」(広義)として表現するのは、少しおおざっぱな表現ともいえる
FIDO†
パスワード認証†
TOTP†
パスワードの脆弱性†
Basic認証/ダイジェスト認証†
クライアント証明書認証†
RADIUS†
- 限界迎えるRADIUSプロトコル 2008.9.6
- RADIUSに限界が見えてきました。ブロードバンド化の進展やネットワーク利用者の急増,アクセス手段の多様化などが原因です。例えば,RADIUSは規格化当時の低いスペックのコンピュータを前提としていたために,パケットに含められる情報量に制限があります。また,音声や映像などのサービスで必須となってきた,確保する帯域量を通知する機能もありません。さらに,セキュリティは今ほど問題になっていなかったために,RADIUSの通信を暗号化するための規定がありません。
- こうした理由から,RADIUSの欠点を補いつつRADIUSの良さを残した仕組みが必要になってきました。その結果生まれたのが「Diameter」というプロトコルです。2003年にIETFで「RFC 3588」(PROPOSED STANDARD)として登録されました。
- Diameterが技術者の間で注目されているのは,NTTが2008年3月31日から開始した次世代ネットワーク「フレッツ光ネクスト」の中核技術であるIMS(IP Multimedia Subsystem)や将来の携帯電話/無線通信サービスでの利用が策定されているからです。
ライセンス認証†
Active Directory†
- Hogeドメインに参加できない場合
- ドメインコントローラが見つからなくて参加できない、というようなエラーになる場合、ドメイン名にHogeではなくHoge.localと入れるとうまく行ったりする…
- whoamiコマンド
- WHOAMI /FQDN, /UPN, /USER などでAD関連の情報が見られる
AWS Directory Service†