Google のトークン認証システム、オープンソースで公開中 16
認証強化月間 部門より
90 曰く、
米国の Gmail アカウント向けに Google がテストしている、Android 携帯や BlackBerry 端末などがセキュリティトークンとして使える新しい二要素認証システム "Google Authenticator" の実装がオープンソースソフトウェアとして Google Code で公開されている (google-authenticator のページ) 。
現在は Android 用、BlackBerry OS 用、PAM 用モジュールの 3 つのソフトウェアが公開されており、RFC 4226 にあるHMAC-Based One-time Password (HOTP) と現在ドラフト段階にある Time-based One-time Password (TOTP) の 2 種類のプロトコルに対応しているそうだ。Google のサービスとしては現在のところ米国内で希望者が Google サービスへログインする場合のみに使われているが、PAM のモジュールを自分でダウンロードして好みの Linux マシンなどに組み込むこともできる。
利用者は端末にアプリをダウンロードし、秘密鍵を設定し、PAM では緊急用スクラッチコードも記録する。実際のログインには端末に使い捨てのパスワード (One Time Password: OTP) が表示され、通常のパスワードに加えこの OTP を入力してログインする。リプレイ攻撃を防ぐことができるので、証明書を作る/使うのが面倒なとき、あるいはワンタイムパスワードが使いたいなどの場合に役立つかもしれない。すでに Linux 上での SSH や端末ログインに適用した例があるようだ (MNX Solutions の記事, それ、Gentooだとどうなる?の記事) 。
RSA SecurIDみたいなもの? (スコア:0)
これってRSAのSecurIDみたいなもの?
オープンソースな実装はありがたいなあ。
Re:RSA SecurIDみたいなもの? (スコア:3, 参考になる)
私はWorld of Warcraftで使っていますが、日本だとFinalFantasy14の「セキュリティトークン」が有名なようですね。
ご存じない方は、そちらの使い方をググって頂くのが一番かと思いますが。
使っている限り、簡単で尚且つ非常に有効な手段だと感じます。
googleやWorld of Warcraftの場合はスマートフォン用無料アプリケーションでもあるので、場所も取らずに無くしづらい。
実に素晴らしい物だと思います。
しかし
ここでスマートフォン用無料オーサラーザを出していないあたりが、スクエニの「コスト感覚」なのかなあ……
スマートフォンに入っているか専用ハードかで、使い勝手は天と地ほどに違うのに。もったいない。
Re:RSA SecurIDみたいなもの? (スコア:2, 興味深い)
>~
>スマートフォンに入っているか専用ハードかで、使い勝手は天と地ほどに違うのに。もったいない。
専用ハードだからこその信頼性があるので、もったいないとばかりは言えないでしょう。 スマートフォンへのソフト的な実装では必ず解析・攻撃の対象となりますし、複数のサービスで共用すると破られた時の被害の拡大を無視できなくなります。
結局のところジャラジャラ持ち歩くのは不便でも、個別の専用ハードが一番安心です。(あのドングルは耐タンパ性もある程度考慮した作りになっています) それに今はクレジットカード・サイズで液晶表示付の薄型セキュリティ・トークンも製品化されているので、大きさが気になるならそれを使えば良いのでは?(国内のオンラインゲームでも採用実績があるようです)
Re: (スコア:0)
Re:RSA SecurIDみたいなもの? (スコア:2, 興味深い)
SIMカードはタンパプルーフなスマートカードなんじゃないでしょうか。
SIMカード内で署名処理させれば、デバイスを所持していることによる認証は可能だと
思います。
Re: (スコア:0)
スマートフォンってSIMがないんでしたっけ?
それにガラケーの端末IDってonetime化も署名もクソもなくそのまんま固定値を送ってるだけだったと思うんですが。何のために「IPアドレス帯域」の制限が必要でなぜスマートフォンでは無意味なのか理解していますか?
Re:RSA SecurIDみたいなもの? (スコア:1)
なにか誤解されているようですが、
>でもガラケーは耐タンパー容器か何かだと思われてる! ふしぎ
に対して、SIM があるから、タンパプルーフとみなしてよいのでは、
と言っているだけです。端末IDの話なんてどこから出てきたのですか?
DoCoMo の FirstPass とか、SIM を使用したサービスですよね。
# スマートフォンも、OSが対応していれば同様な方法で対応可能だと思います。
Re: (スコア:0)
Re: (スコア:0)
いや別に秘密鍵だけ手で打ち込んで時刻同期をきっちりしてればネットワークいらないけど
Re: (スコア:0)
所で、仕様もソースも公開されているようですが、耐タンパー性って必要なんでしょうか。
Re: (スコア:0)
そりゃ、机に置き忘れて戻ってきたときにすでに秘密鍵が割られてたら困るよね。
端末乗っ取られる場合かな? (スコア:0)
端末がウイルスに感染するとか、端末自体強奪されるとか。
現代暗号的には、アルゴリズムは公開されるわけだから、
端末内に保存した秘密鍵を抜き取られることを防止する以外の用途で耐ダンパー性が必要なのかは疑問。
Re:RSA SecurIDみたいなもの? (スコア:1)
銀行でも使ってますね。三井住友(オプション)とか、ジャパンネットバンクとか。>専用端末トークン
私的には専用端末のほうが楽ですね。いちいちアプリ起動するのがめんどくさいほうなので。。
#この辺は、使う人で変わってくる部分だと思います。
---にょろ~ん
Re:RSA SecurIDみたいなもの? (スコア:1, 興味深い)
数が少ないうちはね。
・・・と思ったけど、カードみたいな形状だったら数が増えても扱いやすいかな?ペンシル状とか。
Re:RSA SecurIDみたいなもの? (スコア:1)
レジで支払いをするとき、大量に財布に刺さったポイントカードから正しい物を選ばなければならない状況。
それにストレスを一切感じていないなら、カードでもいいんじゃないかなーと思います。
専用ハードの方を信用する、といったコメも頂いていますが。
個人的には2つ以上存在する場合、専用ハードは本当に勘弁して欲しいですね。
この認証システムで (スコア:0)
Marketに対応してないAndroid機でもMarket使えるようにしてもらえませんかねえ…?
#野良.apkをAVGだけを頼りにびくびくしながらインスコしてるのでAC