web-dev-qa-db-ja.com

パスワードの使用をサービスにログインするために置き換えることができるいくつかの既存またはアイデアは何ですか?

パスワードは長い間認証方法であり、ユーザーのパスワードが盗まれたり、場合によってはまったくハッシュされなかったり、正しくハッシュされなかったりする違反が発生することはよく耳にします。さらに、パスワードを使用する人々には、再利用、単純過ぎる、強引な強制など、他にも多くの問題があります。

だから私の質問は、サービスまたはアプリケーションにログオンするためにパスワードを使用するプロセスを置き換えることができるいくつかのアイデアは何ですか? 2FAがあることはわかっていますが、ユーザーのパスワードを完全に置き換えるための既存または将来のアイデアに興味があります。

私が今何をしているのかという選択肢の良い例は、DNAを入力することです: https://www.typingdna.com/ しかし、それはユーザーのパスワードの考え方はまだ使用しています。

パスワードと同じぐらいシンプルで便利なものにするが、ユーザーがログイン方法として使用できるように、より安全で簡単にすることを考えています。

authenticationpasswordsmulti-factoraccount-security
2
joego101

リモート認証の最新技術は、クライアント証明書の使用です。一部の国(フランスおよびその他のヨーロッパ諸国)でも合法的な価値があります。これはブルートフォース耐性があり、証明書が正しい手順で配信される場合、秘密鍵は常に受信者の排他的な制御下にあります。さらに、証明書が侵害された場合、失効する可能性があります。通常の使用には非常に簡単ですが、主な欠点が2つあります。

  • 正しい証明書の配信はかなり複雑です(*)
  • 卵と鶏肉の問題に悩まされている場合:クライアント証明書を持っているユーザーがほとんどいないため、証明書認証を提供しているサービスがほとんどなく、証明書認証を提供しているサービスが少ないため、深刻なクライアント証明書に対して支払う準備ができているユーザーはほとんどいない

(*)クライアントは、鍵ペアと証明書署名要求(公開鍵のみを含む)を生成する必要があります。次に、認証局はCSRに署名してクライアントに返す必要があります適切な受信者にのみ配信できるようにする方法で。推奨される方法は、クライアントがIDカードを提示する対面の手順です。理想的には、スマートカードの場合、クライアントは署名された証明書をキーペアが生成されたカードにインストールする必要があります。スマートフォンまたはパーソナルコンピューターの場合は、デバイスにキーペアを生成し、クライアントのみがインストールする必要があります。署名付き証明書。多くの非技術系ユーザーにとってはそれほど簡単ではありません...

1
Serge Ballesta

1つのオプションは、生体認証(指紋など)です。これは多くの場合悪い考えです。主にあなたの指が損傷したり、誰かが何らかの危険な方法でそれを使用したりするためではなく、あなたの秘密(指紋)がはっきりと知られている場合:変更するのは大変です。

別のオプションは一時的なパスワードです。たとえば、ユーザー名を入力すると、サービスからSMSが送信され、入力する必要があります。その2番目の要素に似ていますが、最初の要素として。また、よりエレガントにすることもできます。モバイルデバイスのアプリからボタンをタップするように要求されますが、これは別のマシンのWebクライアントでのセッションを承認するだけです。

別のオプションは、電子メールによる認証です。この場合、サービスは一意のメールアドレス([email protected])を生成します。このアドレスは、ユーザーが特別なアドレスを使用するか、特別な文字列を含むメールを送信する必要があります。

基本的に、すべての2番目の要素を1番目の要素として使用できます。プラグインされるか、オフラインキーを生成するハードウェアトークンのように。

1
Ben

実際には、パスワード以外のものを使用できる方法がいくつかあります。それらはすべて、認証方法の傘下に入ります。

主なものは、あなたが何か、あなたが持っているもの、あなたが知っているもの、あなたがしていること、そしてあなたがどこかにいるものです。以下のそれぞれについて、もう少し詳しく説明します。

あなたが何か

これは、バイオメトリクスが関係する場所です。指紋スキャナー、虹彩リーダー、顔認識など。基本的には、身体で行うこと。

あなたが持っているもの

あなたが持っているものには、スマートカード、ユビキー、rfidチップ、基本的にあなたが所有している、またはあなたの人に持っている物理的なものが含まれます。

あなたが知っている何か

これは従来の認証方法であるため、PIN番号、パスワードなどがここに含まれます。これらは質問に対する回答です。

あなたがすること

これはおそらく(少なくとも私の経験では)最も見られないものです。これは、物理的に行うこと、タイプする方法、歩く方法などです。

どこかにいる

これは場所/時間ベースであり、ログインするのに適切な時間に通常の場所にいることを前提としています。アジアではなく、米国に住んでいるときの4.30でログインします。

2FAまたは多要素認証では、これらのカテゴリを2つ以上使用してセキュリティを強化します。パスワードと虹彩スキャン。スマートカードやパスワードなど.

ユビキーは最近では一般的になりつつあり、Googleによってすべての従業員に公開されていますが、ほとんどの認証方法は、上記の5つのカテゴリのいずれかに該当します。トークンを使用した時間ベースの認証も最近では一般的になっています。

質問がある場合はコメントを残してください。できる限りお答えします。

1
Connor J

「パスワードなし」(覚えておく必要のあるパスワードを使用しない)方法と私が個人的に経験した例:

  1. Medium-Mediumにログインするには、ソーシャルメディアアカウントでログインするか、メールでサインインします。後者を選択すると、OTPリンクが15分間利用できる電子メールが送信されます。基本的に、パスワードオプションはありません(ソーシャルメディアを介してそれを行うが、Mediumアカウントのパスワードでない場合のみ)。
  2. Ebay-Ebayによって生成され、SMSテキストコード)を介して送信される一時的なパスワードを使用してアカウントにアクセスできます。この方法でも、2番目のデバイスを使用してIDを検証します。

あなたが言及したTypingDNAオプションと同様に、タイピングバイオメトリクスによる認証は、すべてのタイプのテキスト(同一:パスワード、クレジットカードなど、およびテキスト:チャット内のダイナミックテキストなど)で機能します。実際には、「タイピングを使用してログインしています」などの短いテキストに基づいて、すべてのユーザーを確認できます。または、人ごとに異なるテキストを表示することもできます。ただし、これは1つの要因にすぎないため、お勧めできません。

機密性の高いものを保護する必要がない場合は、これだけでも選択肢になります。 TypingDNA APIを介して生体認証を入力することで人々を認証すると、一致スコアが得られ、優先レベルのセキュリティに基づいて人々を許可するしきい値を設定できます(プラットフォームのFAR/FRRのバランスを取ることも可能です)。開示:私はTypingDNAプロジェクトの一部です

0
CristianDNA