IoT 検定を独学で合格する方法 (8. セキュリティ その3)

8-3. 認証技術

パスワード認証
ユーザIDやパスワードなどの組み合わせにより、ログインしてきたユーザが、ネットワークの利用可能ユーザであるかどうかを識別します。逆に言うと、ユーザIDやパスワードなどの組み合わせが一致さえすれば、ログイン認証が成功してしまいます。そのため、自分の誕生日等で簡単に想起されるパスワードはご法度となります。パスワードの不正取得攻撃として、一般的に以下の2つがあります。

ブルートフォース攻撃 文字を組み合わせてあらゆるパスワードでログインを何度も試みる攻撃。力づくでの攻撃。
辞書攻撃 辞書にある文字などを使って、ログインを何度も試みる攻撃。人間の記憶力限界を逆手にとった攻撃。

この攻撃を防御するため、パスワードを作成する際、「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されています。IPA の情報によりますと、英文字(大文字・小文字区別)+数字+記号で6文字だと約54日ですが、8文字だと解読時間に約1千年はかかるようです。このあたりから、パスワード作成には8文字以上が妥当な文字数になったかもしれませんね。

パスワード解読時間表

パスワード解読時間表
(http://www.ipa.go.jp/security/txt/2008/10outline.html)

二要素認証
二要素認証は、以下の3つある要素から2つが揃っていないと認証が通らない仕組みのことを言います。

  1. 本人だけが知っている情報
  2. 本人だけが所有しているもの
  3. 本人自身の特性(指紋など生体認証)

ネットバンキングでは、この二要素認証方式が進んでいます。キャッシュカードの裏に乱数表があり、この乱数表が「2. 本人だけが所有しているもの」に該当します。ネットバンキングにログインする時に、IDとパスワードで第一段階、乱数表で第二段階の認証となっています。

ホワイトリスト認証
ホワイトリスト方式は、認証許可されたアプリケーション、サービス、デバイス以外は、すべてブロックされます。この処理をデフォルト拒否といい、許可されるには、事前にホワイトリストのメンバーになる必要があります。京都の「一言さんお断り」のイメージです。それに対して、アプリケーション、サービス、デバイス等の不許可にするブラックリスト方式があります。ウイルス対策ソフトがその一例ですね。ただし、悪意あるマルウェアやウイルスは日毎に増加していきますので、ブラックリストの更新や定期的なメンテナンスが必須となります。よって、IoTシステムでは、不特定なアプリケーション、サービス、デバイスを対象としない場合が多いと思われますので、ホワイトリスト方式のほうが採用されやすい傾向です。

IoT 検定に興味がある方は、 「 IoT 検定」 一覧

お問合せ はこちらから

最後までお読みいただきありがとうございました!
最後までお読み頂き、ありがとうございました!
以下のお好きなバナーをポチっとクリックして頂けると、とても嬉しいです!
 (複数回は大歓迎!)

シェアする

  • このエントリーをはてなブックマークに追加