CHAPとチャレンジレスポンス方式
IPAの解説サイトによると、CHAP(Challenge Handshake Authentication Protocol)認証は、チャレンジレスポンスという方式を利用した認証システムです。とある。
ということは、CHAPはチャレンジレスポンス方式という仕組みを用いたパスワード認証の手法という意味だろうか。つまり、チャレンジレスポンス方式というのは仕組みで、それを認証に用いたのがCHAPという解釈で良いのだろうか。
このサイトのチャレンジレスポンス方式を説明した図を見ると、次のような手順でユーザが認証されている。
- ユーザはIDを認証サーバへ送信する。
- 認証サーバはチャレンジコードをユーザへ送信する。
- ユーザはチャレンジと事前パスワードを使ってレスポンスコードを生成し、それを認証サーバへ送信する。
- 認証サーバは、ユーザIDからユーザのパスワードを(ユーザパスワードテーブルなどから)取得し、送信したチャレンジとそのパスワードを使ってレスポンスコードを生成し、ユーザから送られてきたレスポンスコードと比較する
- 一致していればユーザ認証成功
このことから、チャレンジレスポンス方式というのは具体的な処理までは言及しない概念的なもので、CHAPはその具体的なもののように思われる(ちょうどクラスとインスタンスのような)。
セキュリティ用語辞典では、
PPPなどにおけるチャレンジ/レスポンスという方式を利用したユーザー認証方法。と説明されている。
レスポンスコードを生成するときに「ハッシュ」を使うと書いてあるが、ハッシュも一方向暗号という暗号化の一種なので、IPAの説明とほぼ同じ内容になっている。
一方、Wikipediaでは、
コンピュータネットワークにおいて、Challenge-Handshake Authentication Protocol (チャレンジ・ハンドシェイク・オーセンティケーション・プロトコル、CHAP) は、ユーザやネットワークホストに対する認証プロトコルである。と、CHAPは「プロトコル」であると説明してある。
つまり、CHAPはチャレンジレスポンス方式という仕組みを用いたユーザ認証のための「プロトコル」ということである。この説明が一番しっくりくる。
WAFにおけるブラックリスト・ホワイトリスト
WAF(Web Application Firewall)は、Webアプリケーションに特化したファイアウォールである。IPAのWAFについての解説資料によると、WAFには「検査機能」があり、HTTP通信を検出パターンに基づいて検査するとある(P19 3.2.1 基本機能)。
検出パターンは、定義方法により「ブラックリスト」と「ホワイトリスト」の2種類がある。
- ブラックリスト
- HTTP 通信における「不正な値、またはパターン」を定義した検出パターン。このリストを使用して HTTP 通信を検査した場合、WAF は HTTP通信の内容が「不正な値、またはパターン」に合致したときに、その HTTP 通信を不正な通信として検出する。
- ホワイトリスト
- HTTP 通信における「正しい値、またはパターン」を定義した検出パターン。このリストを使用して HTTP 通信を検査した場合、WAF は HTTP通信の内容が「正しい値、またはパターン」に合致しないときに、その HTTP 通信を不正な通信として検出する。
クロスサイトリクエストフォージェリとクロスサイトスクリプティング
いずれもスクリプトを用いて二つのサイトをまたぐ不正な操作を行う攻撃。両者の違いについては「5分で完璧に理解できる!Webシステムのセキュリティ対策」や「CSRFとクロスサイトスクリプティング」に詳しい説明がある。両者の最も大きな違いは、不正なスクリプトが実行される場所。前者(CSRF)は攻撃者が用意した罠のサイト(サーバ)上で実行され、後者(XSS)は攻撃者から送り込まれた悪意のスクリプトがユーザのブラウザ上で実行される。いずれも攻撃対象のサイトに脆弱性があるために引き起こされる。
CSRFの典型的な被害は利用者の意図しないSNSへの書き込みやショッピング。ただし、SNSサイトやショッピングサイトにログインしている状態でないと攻撃は成功しない。
XSSの典型的な被害はcookie情報の窃取。
ピクチャパスワード
IT用語辞典によれば、ピクチャパスワードとは認証を行う方式のうち、従来のパスワードのように文字列を入力するかわりに、画像をタッチジェスチャーなどポインティング操作することによって認証する方式のことである。と説明されている。
実際にピクチャパスワードを使ってサイインする動画がYoutubeにある。
Windows 8 タブレット ピクチャ パスワードでサインイン
0 件のコメント:
コメントを投稿