2007年03月27日

ヤフー発 パスワード相互認証プロトコル

 ヤフーはこのほど、産業技術総合研究所とウェブ利用に適したパスワード相互認証プロトコルを開発したと発表した。

 このプロトコルは、「PAKE(Password Authenticated Key Exchange)」と呼ばれる方式のひとつであるISO/IEC 11770-4のプロトコルを基盤として設計したもの。ユーザーにとっては、使い慣れたIDとパスワードを利用するだけでよく、サービス提供者はユーザーに新たな負担を強いることなく導入できる相互認証方式となっている。

 この方式では、ユーザーが入力したパスワードは乱数を用いて暗号学的に加工されてサーバに送信され、一方サーバ側は、そのユーザーのパスワードとして事前に登録されている情報を加工してユーザーのコンピューターに返す。ユーザー側でも、そのサーバが自分のパスワードを過去に登録したサーバであるかを検証することが特徴となっている。

 また、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用することで、フィッシング防止にも有効となる。偽サイトで誤ってパスワードを入力してもパスワードそのものを詐取されることはなく、ログインが成功したように偽装されることもない。さらに、偽サイトが通信を本物サイトへ中継する中間者攻撃と呼ばれる手口にも対応し被害を防止します。

 ヤフーでは、これまでにプロトコル仕様の設計を終え、この技術を実装したサーバモジュールとブラウザ拡張機能を試作している。2007 年度中に「Yahoo! オークション」上での実証実験を行い、実際の運用に耐え得る仕組みであることを検証する。今後、本プロトコル仕様のRFC化に向けた手続きとしてインターネットドラフトを起草し、将来的にはオープンソースコミュニティにソースコードを提供して、ウェブにおけるパスワード相互認証の技術標準としての確立を目指す考えだ。


http://japan.cnet.com/news/sec/story/0,2000056024,20345842,00.htm?ref=rss

どことはあえて公言しないけれど、サービス提供側が、ある日を堺にWeb2.0を導入したサービスに切り替えたことでかなり使い勝手が悪くなったサイトがあります。運悪く毎日欠かさず巡回するページなので、個人的にはかなりヘコんでしまっています。

その点、ヤフーと産業技術総合研究所の開発したプロトコルはユーザの負担増がまったくなく、ユーザビリティに優れていることを物語っていますね。オークション詐欺はともかく、もうひとつの心配の種であるフィッシング詐欺の防止につながる開発は大変いいニュースという印象を受けます。将来的にはオープンソースコミュニティにソースコードを提供という意見も賛同できる内容。早期の実装を期待しましょう。


posted by media_aidem at 09:37 | Comment(0) | TrackBack(0) | セキュリティ
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]

ホームページアドレス: [必須入力]

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。