本文章は、2013年12月12日、13日に広島大学で行われた「第6回インターネットと運用技術シンポジウム(IOTS2013)」で発表した、「スマートフォンを「鍵」としたウェブサイトへの自動ログイン機構の提案」という発表の論文の抜粋です。
文章の最後に論文のダウンロードページへのリンクも追加しておりますので、ご興味ございましたらそちらもご覧ください。
1. 背景
昨今,ウェブサービスがクラックされ,パスワードを含むユーザ情報が流出し,不正に取得されたユーザ情報から 芋づる式に別のウェブサービスに不正ログインされてしまう問題が頻発している.
最初はウェブサービス側のシステム上の不具合がきっかけとして発生することが多い.
例として,連続ログインの処理が不適切でブルートフォースアタックによる解析を許してしまう,データベースに保存されているパスワードの不適切なハッシュ化,またウェブアプリケーションやサーバ設定の不備などが挙げられる.
そこから流出したログイン情報と同じパスワードを使っている他のウェブサービスに不正ログインされてしまう.
これはユーザが同じパスワードを複数のウェブサイトで使用することで,インターネットという分散環境の中で,実質的なシングルサインオンシステムになっていることが問題である.
しかし,通常のウェブサービスの利用規約では, ログイン情報の管理はユーザの責任になっていることから,パスワードが他のウェブサービスと共通化されていることについて積極的に解決しようとするウェブサービス事業者は少ない.
各ウェブサービス事業者は,不正ログインの被害を受けた後に,ユーザにパスワードを他のウェブサイトとは別のパスワードに変更するように指導しているが,多くのウェブサイトにてパスワードの入力文字数は 8 文字以上を理想としており,複雑なパスワードの利用をユーザの記憶に頼って運用することは非現実的である.
パスワードによるログインを強化する手段として,スマートフォンや携帯電話とを組み合わせた 2 段階認証が存在するが,こちらは多くのユーザにとって概念を理解することが困難であり,普及しているとは言いがたい.
パスワードシステムは,システム組み込みのコストが安価に済む上に,ユーザの認知として十分普及しているために,現時点ではシステム事業者,ユーザ側共に最も使いやすいログインシステムである.
そのため現状のパスワードシステムを維持したまま,パスワードの個別化をサポートする仕組みが必要であると考えた.
2. 問題の解決についての提案
2.1 スマートフォンを「鍵」とした自動ログイン機構 既存のパスワードシステムを活用しつつ,ユーザビリティを損なうことなくパスワード個別化を実現するために, スマートフォンを「鍵」としたウェブサービスへの自動ログイン機構を提案する.
現在,多くの人が所有するスマートフォンには電子メールやSNS,ネットバンキング等のアクセス情報など,様々のパーソナルデータが紐付いており, 肌身離さず持ち歩くデバイスになっている.
スマートフォンを始めとするスマートデバイスが,インターネットを通じて別の端末上のアクセス認証を行えるようになることで, 「鍵」のような役割を担えると考える.
具体的な例として,以下のものを提案する.
PC のウェブ サービスにログインする際に,既存のパスワード入力と並行し,ログイン画面に QR コードを表示する(図 1).
この QR コードを読み込んだスマートフォンのアプリケーションが,ウェブサービスのログイン管理サーバと連携し,アプリケーションが自動でパスワードを発行し,ユーザ登録およびログイン処理を実行する.
アプリケーションは,ユーザ登録時にランダムにパスワードを発行することで,ユーザが意識することなくウェブサービス毎にパスワードを個別化する.再ログイン時にも,同じ QRコードを読み込みアプリケーションがログイン処理を行う.
【PR】ご意見、感想などは是非、mstdn.fmのローカルタイムラインでお聞かせください