ユーザー認証とアクセスポイント

ユーザー認証とは

  • ユーザー認証:一番最初に「あなた誰?」と確認する行為
    • ログイン:ユーザー認証をパスしてシステムを利用可能状態にすること
    • ログアウト:システム利用を終了してログイン状態を打ち切ること

認証手法

ユーザーID+パスワード ユーザーIDとパスワードの組み合わせを使って個人を識別する手法
バイオメトリクス認証 指紋や声紋、虹彩などの身体的特徴を使って個人を識別する手法
ワンタイムパスワード 一度限り有効と言う使い捨てのパスワードを用いる認証方法
コールバック いったんアクセスした後で回線を切り、サーバー側からコールバックさせることでアクセス権を確認する方法

アクセス権の設定

  • アクセス権…許可された人にだけ閲覧できるようにする
    • アクセス権には「読み取り」「修正」「追加」「削除」などがあり、ファイルやディレクトリに対してユーザーごとに指定していく

ソーシャルエンジニアリング

ソーシャルエンジニアリング … 人の心理的不注意をついて情報システムを盗み出す行為

  • ショルダーハッキング : 肩越しにパスワードを盗み見る
  • スキャビンジング:ゴミ箱を漁って有用な情報を盗み出す

様々な不正アクセスの手法

パスワードリスト攻撃 どこかで入手したID・パスワードのリストを用いて、他のサイトへのログインを試みる
ブルートフォース攻撃 特定のIDに対し、パスワードとして使える文字の組み合わせを片っ端からすべて試す方法
リバースブルートフォース攻撃 パスワードを固定にしておいて、IDとして使える文字列を片っ端からすべて試す方法
レインボー攻撃 ハッシュ値から元のパスワード文字列を解析する手法
SQLインジェクション 入力内容に悪意のある操作を行うSQL文を埋め込み、データベースのデータを不正に取得したり改竄したりする手法
DNSキャッシュポイゾニング DNSのキャッシュ機能を悪用して一時的に偽ドメイン情報を覚えさせることで偽装サイトへ誘導する手法
DOS攻撃 通常ではありえないほどのメールやリクエストを大量にサーバーに送り付けてサービス提供不能にする方法
DDOS攻撃 DOS攻撃を複数のコンピューターから一斉に行う手法
フィッシング 金融機関などを装った偽装WEBサイトに利用者を誘導し、暗証番号をはじめとする個人情報を不正に取得する手法

他の用語など

  • ROOTKIT (ルートキット) … 不正アクセスに成功したコンピューターに潜伏し、攻撃者がそのコンピューターをリモート制御できるようにするソフトウェアの集合体
  • ハニーポット … 意図的に脆弱性を持たせた機器をネットワーク上に公開し、おとりとして用いる手法。悪意のある人がどのようにシステムに入り、どのような挙動を取るのかを監視観察する
  • CAPTCHA … 人間にしか可読しにくい文字を表示して、それを入力されて認証を取る手法
タイトルとURLをコピーしました