多段階認証、多要素認証から不正アクセス対策を考える
利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。 「認証」にまつわる攻撃が増えています。利用者本人を特定するために、IDとパスワードを用いた「パスワード認証」が一般的になる中、それを突破するために全ての英数字の組み合わせを試す「総当たり攻撃」、パスワードに利用されやすい文字列を試す「辞書攻撃」、本人から何かしらの手を使ってIDとパスワードを聞き出す「ソーシャルエンジニアリング」、別のサービスから流出したIDとパスワードを使った「パスワードリスト型攻撃」、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」といった、さまざまな攻撃による不正アクセスが流行しています。 IDS/IPSやWAFには、これらの攻撃に対する対策機能もありますが、脆弱(ぜい
クロスドメイン認証をクロスドメインっぽく見せない方法 : やむにやまれず
2007年11月15日12:35 by 山崎泰宏 クロスドメイン認証をクロスドメインっぽく見せない方法 カテゴリデザイン Tweet sparklegate Comment(0)Trackback(0) 以前、セッションを勝手に取ってきていじっちゃう方法を書いた。 これの目的は、実はクロスドメイン認証の補助機能として使うことでした。 クロスドメイン認証の問題点: 今回のテーマに関連しているものをひとつだけ挙げるとすると、それはまさに「認証のタイミング」にあります。 ログインは、人が能動的に実施するタイミングしかないのであれば簡単になりますが、実際はそれ以外にもあります。 例えば、分散した2システム(AとB)があるとすると、Aにログイン済みであることをBはいつ確認すれば良いでしょうか、という問題です。 1.シングルサインオンボタンの誘惑 まず簡単なのは、お客様が能動的にログインしたいと思った
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenAMで始めるシングルサインオン一覧