YubiKey

MENU

YubiKey Blogs

OTP VS. U2F: 強固な認証からより強固な認証へ

February 3, 2016| Olivier Sicco
Yubicoでは、YubiKeyがすでにOATH OTP標準(Yubico OTPを用いて)をサポートしているのに、なぜ認証のオープンスタンダードであるFIDO U2Fを生活にもたらすことに私たちがそんなに熱心なのかと、頻繁に尋ねられます。 簡単に言えば、それは私たちがいつも複数の用途に対応するために複数の認証機能を提供していくからです。 U2FとOTPに関して、私たちは両方ともユニークな特性を揃えていると考えます。

OTP

ワンタイムパスワード(OTP)はとてもスマートなコンセプトです。 数億のアカウントに強固なレベルのプロテクションを提供し、何十年にもわたって利用されてきました。 その評判は簡単さからきています。 静的なユーザー名及びパスワード資格情報にさらに、もう一つの認証のための動的に生成される要素を追加します。 定義により、このOTP資格情報は使われなくなる前のたった一度のログインに有効です。

OTPは多くの方法で通信されています。 一般的には、(SMSやアプリケーションを使って)携帯電話やLCDディスプレイを使ったトークン、もしくはYubiKey などを利用した方法です。 OTPテクノロジーは全ての主要なプラットフォーム(デスクトップ、ラップトップ、モバイル)とレガシーな環境に互換性があります。 それが二要素プロトコルではとても評判のある選択となっています。

しかし、従来のOTPには限界があります。

  • ログインプロセスではユーザーがコードを入力する必要がある
  • 製造業者がトークンのシード値を保有している
  • 管理者は設定およびユーザーにデバイスを支給する必要がある
  • サーバーに秘密情報を格納する必要があり、攻撃の対象となる
Yubico社のOTPはこれらのうちいくつかの問題を解決しています。

  • ユーザーはコードを入力する必要がなく、代わりにボタンを押すだけ
  • 企業側がYubiKeyにある自分の暗号情報を設定できるため、だれにもその秘密を覗き見ることができない
  • YubiKeyによって生成されたOTP(32文字)は一般的なもの(6文字か8文字)より大幅に長いため、よりセキュリティが高いレベルにある
  • YubiKeyはユーザーによる登録を認めているため、管理者側の負担を軽減できる
  • クライアントソフトウェアを必要とせず、どの既存のウェブサイトでも実装が容易である
  • OATHスタンダードに関しては、Yubicoは識別IDに用いられるトークンのプレフィックスをユニークに提供しているため、登録やユーザー体験を簡略化している
上記の解決策は行われていますが、フィッシングと中間者攻撃という、OTPテクノロジーを打ち負かす最も悪名高い攻撃が残っています。 やり方はとても単純です。 ユーザーが自分の資格情報を送るように罠を仕掛けた偽のウェブサイトをハッカーが作成することです。 ここで、ユーザーが罠にひっかかり、自分の情報(ユーザー名、パスワード、そして自分のワンタイムパスワードでさえも)を入力してしまうとすぐにハッカーが横入りし、被害者の本当のアカウントにアクセスされてしまいます。

特に偽サイトのおかしな現象の発生に気を付けているような、セキュリティを意識したユーザーに大しては難しいですが、それ以外の人たちにその手法は未だ有効ですし、今日においてそれはより一般的な攻撃の一つです。


FIDO U2F

OTP方式に対する攻撃の高度化は、FIDO U2Fプロトコルの開発のきっかけとなる要因でした。

U2Fプロトコルは認証プロセスでクライアントを含みます(例えば、Webアプリケーションにログインするとき、Webブラウザはクライアントです)。 ユーザーがオンラインサービスでU2Fデバイスを登録すると、公開鍵/秘密鍵のペアが生成されます。

登録後、ユーザーがログインを試みるとサービスプロバイダーがチャレンジをクライアントに送ります。 クライアントは他の情報のうち、チャレンジのソースに関する情報をコンパイルします。 これは(秘密鍵を使用して)U2Fデバイスによって署名され、サービスプロバイダーに送り返されます。

U2Fのようなリアルタイムのチャレンジ・レスポンス方式は、フィッシングや様々な形態の中間者攻撃のようなOTPの脆弱性に対処します。

U2Fの強みは次の通りです。

  • 公開鍵暗号方式による強固なセキュリティ
  • コードの再入力やドライバーのインストール無しで簡単に利用
  • 個人情報を鍵に紐づけられていない高度なセキュリティ
  • 無限のアカウントを一つのデバイスで保護できることに無限に利用可能
これら全ての大きな利点を伴いながらも、なぜFIDO U2FはGoogle、DropboxおよびGitHubを超えて、より大規模なサービスに実装されていないのでしょうか? 一つの理由はChromeブラウザが唯一利用できるクライアントだからです。 私たちは今春、Mozilla Firefoxが対応したり、今年後半にあと2つのブラウザが対応するようになることを期待しています。 そして、U2Fはインターネットユーザーの大多数に利用できるでしょう。 新しい世界標準となるのに時間がかかります。U2Fの技術仕様は、ちょうど一年前に使用可能になりました。

あなたが自分のサービスに強固な認証を高度化させることを考えている場合、OTPは良いスタートになりますが、FIDO U2Fは必ず認識しておく必要があります。 ここではいくつかの便利なリンクを紹介します。



原文はこちら
メニューにもどる

Copyright© 2014 株式会社ソフト技研 All Rights Reserved.