web-dev-qa-db-ja.com

この認証方法/アプローチとは何ですか?

背景:Webサイトにこのようなものを実装したいのですが、ホイールを再発明するのではなく、箱から出してすぐにこれを可能にするアドバイスとAPIを探していますが、適切な検索用語を見つけることさえできません。

私の銀行口座に見られるように:

  • 登録すると覚えやすいフレーズを選ぶように言われました
  • これで、自分のWebサイトにログオンすると、プロセスは次のようになります。
    • ユーザー名を入力して「次へ」をクリックします。
    • 銀行のサイトにこのフレーズが表示されています。 これにより、実際に銀行のサイトにいることを確認できます。ログイン認証情報を盗むために設定された偽のサイトではありません。
    • パスフレーズが一致する場合、パスワードを入力して認証プロセスを完了します。
    • パスフレーズが一致しない場合、ユーザー名を間違って入力したか、フィッシングサイトにいることを知っているので、銀行のホームページに戻ってやり直します。

私の考えでは、これは「マルチステップ認証」のように聞こえます。しかし、それを検索すると、多要素認証-トークンを使用した認証、または2段階認証 Googleによって実装されている およびその他のサイトの結果が得られます。私は、モバイルデバイスに送信されたトークンまたはコードを使用した多要素認証の巨大な支持者ですが、私の銀行が行っていることをどのように行うかについても知りたいです。

この認証パターンの名前または用語はありますか?

32
David Stratton

SiteKeyは多くの銀行が呼び出す機能名であり、その名前で検索できるはずです。最小限のセキュリティを追加します。サーバーがユーザーに提示できるものは何でも、真ん中の男がクライアントのように振る舞い、同じ情報を取得できます。 SiteKey(これは銀行で呼ばれている可能性が高い)は安全ではなく、意味のあるセキュリティは追加されません。

「安全な」画像やフレーズが存在するため、ユーザーに誤った安心感を与え、SSLインジケーターなどの適切なインジケーターを無視させる可能性があるため、実際には有害な場合があります。私の一般的な推奨事項は、このような欠陥のあるメカニズムを使用しないことです。これらのメカニズムは、害を及ぼす可能性があるためです。

26
AJ Henderson

これは 知識ベースの認証 と呼ばれ、リモートサーバーの認証に使用されます。一般的な認証トークンは単語と写真です。

私が指摘する1つの点は、ユーザー名などの秘密でない情報が与えられた後でのみ認証トークンを渡すのは悪い考えだということです。攻撃者は、ユーザー名をページに挿入するだけで、またはiframeまたは同様のリモートフェッチメカニズムを介して、単一のユーザーを標的にすることができます。代わりに、ユーザーに弱い認証トークン(4桁のPINなど)を提供してから、シークレットを提供し、次に強力な認証トークン(パスワードなど)を要求することをお勧めします。これにより、メカニズムがはるかに安全になります。

23
Polynomial

これはSiteKeyと呼ばれます。しかし、最近のハーバードの研究では、SiteKeyが97%効果がないことが判明しました。 SiteKeyは、中間者攻撃の影響を受けます。 SiteKeyは誤った安心感を提供します。 dual factor authentication に行くことをお勧めします。これは本当の意味での認証です。

2
Mildred Tinney